L’IA neutralise une attaque du ransomware Maze ciblant un établissement de santé

Max Heinemeyer, Director of Threat Hunting | jeudi 22 octobre 2020

Les ransomwares continuent de semer le chaos et le désordre dans les entreprises du monde entier, entraînant des conséquences graves pour des cibles au profil de plus en plus sensible. Cette année, nous avons observé une forte augmentation de la fréquence du ransomware « Maze », qui a paralysé le grand fournisseur de produits optiques Canon et a causé des ravages chez plusieurs entreprises du classement Fortune 500 comme Cognizant.

En septembre dernier, les journaux ont beaucoup parlé d’une patiente allemande, décédée suite à une attaque par ransomware à l’hôpital universitaire de Düsseldorf, confirmant que ces menaces sont bien réelles pour les individus.

Les ransomwares touchent tous les secteurs d’activité, mais en 2020, les criminels se sont beaucoup attaqués à des services publics essentiels comme la santé, les administrations locales et l’infrastructure critique – que les dommages soient intentionnels ou collatéraux. Plus les enjeux sont élevés, plus il devient critique de comprendre comment éviter ces attaques dévastatrices et omniprésentes.

Une fois déployés, il suffit de quelques secondes aux ransomwares pour se propager latéralement dans toute l’infrastructure numérique de l’organisation. Des systèmes entiers se retrouvent ainsi totalement paralysés en quelques minutes. Les pirates attaquent souvent la nuit ou le week-end, à des moments où ils savent que le temps de réaction des équipes de sécurité sera plus long. Les attaques menées à la vitesse de la machine requièrent des outils de défense capables de détecter et de neutraliser ces menaces à la même vitesse, sans intervention humaine, et de bloquer la menace en toute autonomie.

Cet article explique comment l’IA détecte et neutralise les ransomwares en apprenant ce qui constitue une situation normale sur l’ensemble des actifs numériques, des e-mails et des applications SaaS au réseau, au cloud et aux environnements IoT, en passant par les systèmes de contrôle industriel (ICS). Pour cela, nous allons nous intéresser à un exemple d’attaque par le ransomware Maze neutralisée par Darktrace dans l’environnement d’un client.

Le système immunitaire Darktrace a détecté la menace dès ses premières manifestations, mais comme la Réponse Autonome était configurée en mode passif, la neutralisation de l’attaque a requis une intervention humaine. Cela signifie que les attaquants ont eu le temps de se déplacer latéralement dans l’organisation, à la vitesse de la machine, et de chiffrer des fichiers avant que l’équipe de sécurité intervienne. En mode actif, Antigena Network aurait contenu l’activité dès ses premières manifestations.

Comment la Cyber IA de Darktrace détecte-t-elle les ransomwares comme Maze ?

Dès le déploiement de Darktrace (virtuellement ou sur site), l’IA commence à apprendre le « modèle comportemental normal » de chaque utilisateur et de chaque machine de l’organisation. La technologie est ainsi capable de détecter les activités anormales indiquant la présence d’une cybermenace. Pour cela, elle ne s’appuie pas sur des règles ou des signatures statiques, qui requièrent un « patient zéro » avant de pouvoir mettre à jour les listes pour être en mesure de contenir les menaces identiques ultérieures. Lorsqu’il s’agit d’une nouvelle version d’un ransomware qui se propage dans l’organisation et infecte des centaines de machines en quelques secondes, cette approche est totalement impuissante.

L’IA de Darktrace possède une compréhension fine du « modèle comportemental normal » de l’organisation. C’est pourquoi elle reconnaît les activités inhabituelles en temps réel. Ces activités peuvent inclure :

ActivitéDétections effectuées par Darktrace
Téléchargements inhabituels depuis des serveurs C2Fichier EXE provenant d’une destination rare/transfert de fichier masqué
Infiltration par force brute de serveurs RDP accessibles publiquementModèles de force brute sur RDP entrant
Accès par force brute aux comptes utilisateurs de portail Web utilisant un mot de passe faible ou n’utilisant pas l’authentification à plusieurs facteurs (MFA)Différents modèles de force brute
C2 via Cobalt Strike / Empire PowershellBalisage SSL vers un endpoint rare / modèles Empire Powershell et Cobalt Strike
Balayage réseau à des fins de reconnaissance et de recherche de faille EternalBlueModèle de balayage réseau suspect connu pour télécharger un outil de balayage d’IP avancé après une exploitation de faille
Utilisation de Mimikatz pour l’élévation des privilègesSession SMB administrateur inhabituelle / Session administrateur RDP inhabituelle (Procdump, PingCastle et Bloodhound)
Psexec / Utilisation des ressources internes (« Living off the Land ») pour le déplacement latéralExécution inhabituelle de commandes à distance / Utilisation inhabituelle de PSexec / Trafic RPC DCE inhabituel
Exfiltration de données vers des serveurs C2Envoi de données vers un domaine rare / Téléchargement interne inhabituel / Téléchargement inhabituel vers l’extérieur
ChiffrementActivité SMB suspecte / Ajout d’extensions de fichiers
Exfiltration de mots de passe par l’intermédiaire de différents services de stockage dans le cloudEnvoi de données vers un nouveau domaine externe
Tunnels RDP utilisant NgrokTrafic RDP sortant / Différents modèles de balisage

De plus, Darktrace identifie les tentatives d’accès par force brute aux serveurs connectés à Internet. Elle peut également détecter les recherches spécifiques de mots de passe stockés dans des fichiers en texte brut, ainsi que dans plusieurs bases de données de mots de passe.

Renseignements provenant d’infections réelles

Figure 1 : Chronologie de l’attaque

Très récemment, l’IA de Darktrace a détecté une situation où le ransomware Maze s’attaquait à un établissement de santé. Le système immunitaire Darktrace a détecté chaque étape du cycle de vie de l’attaque en quelques secondes, et le Cyber AI Analyst a immédiatement lancé une analyse automatisée de l’incident dans son ensemble, produisant un rapport synthétique rédigé dans une langue naturelle et facile à mettre en œuvre pour l’équipe de sécurité.

Le vecteur d’infection initial était une campagne de spear phishing. Maze est souvent distribué aux établissements de santé à travers des e-mails de phishing sur le thème de la pandémie. Darktrace propose également une protection de la messagerie basée sur l’IA qui comprend le comportement normal de chaque utilisateur de Microsoft 365 et détecte les anomalies indicatrices d’une tentative de phishing. En l’absence de cette protection, les e-mails échappent aux passerelles traditionnelles.

Le pirate a alors commencé à mettre en œuvre des activités de balayage réseau et d’énumération pour élever son accès au sein du sous-réseau Recherche et Développement. L’IA de Darktrace a détecté un piratage d’identifiants de niveau administrateur, des activités RDP inhabituelles et plusieurs tentatives d’authentification Kerberos.

Darktrace a détecté que l’utilisateur téléchargeait un contrôleur de domaine, avant que des lots de fichiers soient écrits vers plusieurs partages de fichiers, qui étaient utilisés pour le processus de chiffrement.

Une machine infectée s’est alors connectée à un domaine suspect associé à Maze mazedecrypt[.]top et le pack du navigateur TOR a été téléchargé, probablement à des fins de commande et contrôle (C2). Un grand volume de données sensibles issues du sous-réseau R&D a ensuite été téléchargé vers un domaine rare. Cette activité est typique du ransomware Maze, que l’on considère comme une « double menace », car il essaie non seulement de chiffrer les fichiers critiques, mais en envoie également une copie au cybercriminel.

Cette forme d’attaque, également nommée doxware, fournit alors au pirate un moyen de pression si l’organisation refuse de payer la rançon : il peut vendre les données sur le Dark Web, ou menacer de faire fuiter la propriété intellectuelle de l’entreprise à ses concurrents, par exemple.

Analyses automatisées en temps réel avec le Cyber AI Analyst

Tout au long du cycle de vie de l’attaque, plusieurs alertes de niveau de confiance élevé ont été générées par l’IA Darktrace. Le Cyber AI Analyst a alors automatiquement lancé une analyse en arrière-plan pour rapprocher les différents événements en un incident de sécurité unique et exhaustif, qu’il a ensuite présenté sur un seul écran pour qu’il soit consulté par les équipes humaines.

Figure 2 : Exfiltration des données vers un domaine externe rare

Figure 3 : Interface utilisateur de Darktrace mettant en évidence l’activité inhabituelle et les violations de modèles sur un contrôleur de domaine directement lié à l’attaque par ransomware

Les attaques doubles et ciblées comme Maze connaissent une forte augmentation et sont extrêmement dangereuses, et elles visent de plus en plus les environnements aux intérêts élevés. Des milliers d’organisations se tournent aujourd’hui vers l’IA, non seulement pour détecter et analyser les intrusions par ransomware comme illustré ci-dessus, mais aussi pour répondre de façon autonome aux événements à mesure qu’ils se produisent. Les attaques par ransomware de ce type montrent aux organisations que la technologie de réponse en temps réel n’est pas seulement un petit plus agréable, mais bien un outil indispensable, car les menaces rapides exigent une réaction à la vitesse de la machine.

Dans un article précédent, nous avions examiné une attaque par ransomware zero-day qui avait échappé aux outils de sécurité traditionnels, mais pour laquelle Antigena Network avait été configurée en mode actif, neutralisant la menace immédiatement. Cette capacité unique s’avère aujourd’hui cruciale pour les organisations de tous les secteurs d’activité, qui sont victimes d’attaques aux méthodes de plus en plus sophistiquées.

Nous remercions l’analyste Darktrace Adam Stevens pour ses informations sur la menace ci-dessus.

Plus d’informations sur la Réponse Autonome

Détections de modèles Darktrace

  • Device / Suspicious Network Scan Activity
  • Device / Network Scan
  • Device / ICMP Address Scan
  • Unusual Activity / Unusual Internal Connections
  • Device / Multiple Lateral Movement Model Breaches
  • Experimental / Executable Uploaded to DC
  • Compromise / Ransomware::Suspicious SMB Activity
  • Compromise / Ransomware::Ransom or Offensive Words Written to SMB
  • Compliance / SMB Drive Write
  • Compliance / High Priority Compliance Model Breach
  • Anomalous Connection / SMB Enumeration
  • Device / Suspicious File Writes to Multiple Hidden SMB Shares
  • Device / New or Unusual Remote Command Execution
  • Anomalous Connection / New or Uncommon Service Control
  • Anomalous Connection / SMB Enumeration
  • Experimental / Possible RPC Execution
  • Anomalous Connection / High Volume of New or Uncommon Service Control
  • Experimental / Possible Ransom Note
  • Anomalous File / Internal::Additional Extension Appended to SMB File
  • Compliance / Tor Package Download
  • Device / Suspicious Domain
  • Device / Long Agent Connection to New Endpoint
  • Anomalous Connection / Data Sent to Rare Domain

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.