Technologie
Produits
Secteurs
Actualités
Ressources
Entreprise
Français
Technologie
Produits
Secteurs
Actualités
Blog
Ressources
Entreprise

Ransomware de « double extorsion »

Brianna Leddy, Director of Analysis | mercredi 19 mai 2021

Il y a un an et demi, un seul cybercriminel connu utilisait un ransomware de « double extorsion ». Aujourd’hui, plus de 16 groupes auteurs de ransomwares utilisent activement cette tactique. En quoi consiste-t-elle et pourquoi est-elle si populaire ?

Qu’est-ce qu’un ransomware de « double extorsion » ?

Traditionnellement, un ransomware est un code malveillant qui chiffre rapidement les fichiers à l’aide d’un chiffrement RSA par clé publique, puis supprime ces fichiers si la victime ne paie pas la rançon demandée.

Toutefois, suite aux tristement célèbres campagnes WannaCry et NotPetya menées en 2017, les entreprises ont renforcé leurs cyberdéfenses. Elles ont renforcé leurs procédures de sauvegarde et de restauration de sorte que, même en cas de destruction de fichiers, elles disposent toujours de copies récentes pouvant être facilement restaurées.

Cependant, à leur tour, les cybercriminels se sont adaptés à ces techniques. Au lieu de se contenter de chiffrer les fichiers, les ransomwares dit de « double extorsion » commencent par exfiltrer les données. Cela signifie que, même si l’entreprise refuse de payer la rançon, les informations peuvent être publiées en ligne ou vendues au plus offrant. Du jour au lendemain, toutes ces stratégies de sauvegarde et restauration dont devenues inutiles.

Le ransomware Maze et ses acolytes

Fin 2019, le ransomware Maze est devenu le premier cas de double extorsion à faire parler de lui. Par la suite, d’autres souches sont apparues, dont l’attaque Sodinokibi qui a paralysé l’entreprise cotée en bourse Travelex le dernier jour de l’année.

À la mi-2020, des centaines d’organisations étaient victimes d’attaques de type double extorsion. Différents sites du dark Web publiaient les données des entreprises, et le business du Ransomware en tant que services était devenu florissant, les développeurs proposant en permanence de louer ou d’acheter de nouveaux types de malwares.

En outre, les cybercriminels se sont mis à exploiter à leur avantage la réglementation en matière de cybersécurité, en menaçant les entreprises d’avoir à payer de lourdes amendes pour non-conformité (règlements CCPA, RGPD, NYSDFS) pour encourager leurs victimes à ne rien dire et à payer une rançon moins élevée que l’amende en question.

On a recensé plus de 1 200 cas de double extorsion en 2020, dans 63 pays différents, avec 60 % des attaques menées aux États-Unis et au Royaume-Uni.

Malgré la nouvelle législation actuellement développée pour tenter d’atténuer la dangerosité de ces attaques, elles ne faiblissent pas. Dans une étude récente, RUSI a recensé plus de 1 200 incidents de double extorsion en 2020, dans 63 pays différents. 60 % de ces attaques visaient des entreprises ayant leur siège social aux États-Unis. Le Royaume-Uni occupait la deuxième place du classement par nombre de violations.

Le mois dernier, le groupe de cybercriminels REvil a publié des informations relatives au nouveau Macbook Pro d’Apple sur son site « Happy Blog », en menaçant de publier d’autres plans confidentiels et en exigeant le paiement d’une rançon de 50 millions de dollars. La semaine dernière, Colonial Pipeline a prétendument payé 5 millions de dollars en Bitcoin pour récupérer d’une attaque par ransomware OT dévastatrice.

Anatomie d’une attaque de type « double extorsion »

Darktrace a détecté une forte augmentation des ransomwares au cours de l’année écoulée, et plus récemment au sein d’une entreprise du secteur énergétique basée au Canada. Les pirates avaient clairement bien fait leurs devoirs, car l’attaque était ciblée spécifiquement pour l’entreprise et s’est propagée rapidement et discrètement une fois le réseau infiltré. Voici une chronologie de cet incident réel, qui s’est principalement déroulé en l’espace de 24 heures.

Figure 1 : chronologie de l’attaque

Darktrace a détecté chaque étape de l’intrusion et a averti l’équipe de sécurité en générant des alertes de priorité élevée. Si Darktrace Antigena avait été actif dans l’environnement, le serveur compromis aurait été isolé dès les premiers signes de comportement anormal, ce qui aurait empêché l’infection de se propager.

Chiffrement et exfiltration

Le vecteur d’infection initial reste inconnu, mais le compte administrateur compromis l’a probablement été à la suite d’une tentative de phishing ou d’une vulnérabilité système. Cette approche s’inscrit dans la tendance actuelle qui consiste à s’éloigner des campagnes à large spectre et au taux de réussite faible observées pendant la dernière décennie, en faveur d’attaques plus ciblées.

La Cyber IA a relevé qu’un serveur interne exécutait un balayage du réseau inhabituel et tentait de se déplacer latéralement à l’aide du protocole RDP (Remote Desktop Protocol). Le pirate a ensuite utilisé les identifiants administrateur compromis pour se propager rapidement du serveur vers une autre machine interne, « serverps ».

La machine « serverps » a établi une communication sortante avec TeamViewer, un service de stockage de fichiers légitime, qui était actif depuis presque 21 heures. L’attaquant s’est servi de cette connexion pour prendre le contrôle à distance de la machine afin de faciliter les étapes suivantes de l’attaque. Même si TeamViewer n’était pas beaucoup utilisé dans l’environnement numérique de l’entreprise, il n’était bloqué par aucun des outils traditionnels de sécurité en place.

La machine s’est alors connectée à un serveur interne et a téléchargé 1,95 To de données, puis elle a exporté le même volume de données vers pcloud[.]com. Cette exfiltration a eu lieu pendant les heures ouvrées afin de se fondre dans l’activité habituelle de l’administrateur.

Darktrace a également observé que la machine téléchargeait le logiciel Rclone, un logiciel open source probablement utilisé pour synchroniser automatiquement les données avec le service de stockage de fichiers légitime pCloud.

Grâce aux identifiants administrateur compromis, le cybercriminel a pu se déplacer latéralement pendant ce temps. Une fois l’exfiltration de données terminée, la machine « serverps » a enfin commencé à chiffrer des fichiers sur 12 machines à l’aide de l’extension *.06d79000.

Comme dans la majorité des incidents liés à des ransomwares, le chiffrement s’est produit en-dehors des heures de bureau, pendant la nuit, pour réduire au minimum les chances que l’équipe de sécurité réagisse rapidement.

Investigation augmentée par l’IA

Le Cyber AI Analyst a généré des rapports sur quatre incidents liés à l’attaque, en signalant le comportement suspect à l’équipe de sécurité et en fournissant un rapport sur les machines affectées afin de supprimer la menace. Grâce à ce reporting précis, l’équipe de sécurité a pu rapidement identifier le champ d’action de l’infection et a réagi en conséquence.

Figure 2 : barre d’incidents du Cyber AI Analyst pendant une semaine

Le Cyber AI Analyst enquête à la demande

Après une analyse ultérieure menée le 13 mars, l’équipe de sécurité s’est appuyée sur le Cyber AI Analyst pour conduire des investigations à la demande sur les identifiants administrateur compromis dans Microsoft 365, ainsi que sur une autre machine identifiée comme menace potentielle.

Le Cyber AI Analyst a créé un incident pour cette autre machine, et il a identifié un balayage de ports inhabituel réalisé au cours de la période de l’infection. La machine a immédiatement été déconnectée du réseau.

Figure 3 : incident du Cyber AI Analyst pour une machine compromise, identifiant un téléchargement interne inhabituel

Deux fois plus de problèmes

L’utilisation d’outils légitimes et de ressources internes (techniques « Living off the Land », comme l’utilisation du protocole RDP et d’identifiants administrateurs compromis) a permis aux cybercriminels d’exécuter la plus grande partie de l’attaque en moins de 24 heures. En utilisant TeamViewer comme solution de stockage de fichiers légitime pour l’exfiltration des données, plutôt que d’avoir recours à un domaine nouveau ou connu comme étant malveillant, les pirates ont facilement contourné tous les outils de sécurité existants basés sur des signatures.

Si Darktrace n’avait pas détecté cette intrusion et immédiatement prévenu l’équipe de sécurité, l’attaque aurait non seulement provoqué un « déni d’activité » en empêchant les collaborateurs d’accéder à leurs fichiers, mais aussi à une perte de données sensibles. L’IA est même allée plus loin pour faire gagner du temps à l’équipe de sécurité, grâce à l’investigation automatique et à la génération de rapports à la demande.

Face à un ransomware de type double extorsion, les pertes potentielles sont vertigineuses. L’exfiltration ajoute une couche de risque supplémentaire en ce qu’elle expose l’entreprise à une perte de propriété intellectuelle, à des dégâts en termes de réputation et à des amendes réglementaires. Lorsqu’un groupe de cybercriminels détient vos données, il peut très bien exiger de nouveaux paiements ultérieurement. Il est donc vital de se protéger contre ces attaques avant qu’elles ne se produisent, en mettant en œuvre de façon proactive des mesures de cybersécurité capables de détecter et de répondre de façon autonome aux menaces dès leurs premières manifestations.

En savoir plus sur les ransomwares de « double extorsion »

IoC :

IoCCommentaire
api[.]pcloud[.]comStockage dans le cloud pour l’exfiltration
downloads[.]rclone[.]orgTéléchargement du logiciel RClone pour faciliter l’exfiltration
162.250.6[.]138 (AS42473 ANEXIA Internetdienstleistungs GmbH)IP TeamViewer utilisée pour l’accès distant

Détections de modèles Darktrace :

  • Device / Suspicious Network Scan Activity
  • Device / RDP Scan
  • Device / Network Scan
  • Anomalous Connection / Unusual Admin SMB Session
  • Anomalous Connection / Unusual Admin RDP Session
  • Device / Multiple Lateral Movement Model Breaches
  • User / New Admin Credentials on Client
  • Anomalous Connection / Uncommon 1 GiB Outbound
  • Anomalous Connection / Low and Slow Exfiltration
  • Device / Anomalous SMB Followed By Multiple Model
  • Anomalous Connection / Download and Upload
  • Anomalous Connection / Suspicious Activity On High Risk Device
  • Anomalous File / Internal::Additional Extension Appended to SMB File
  • Compromise / Ransomware::Suspicious SMB Activity
  • Anomalous Connection / Sustained MIME Type Conversion
  • Device / Anomalous RDP Followed By Multiple Model Breaches
  • Anomalous Connection / Suspicious Read Write Ratio
  • Device / Large Number of Model Breaches

Brianna Leddy

Based in San Francisco, Brianna is Director of Analysis at Darktrace. She joined the analyst team in 2016 and has since advised a wide range of enterprise customers on advanced threat hunting and leveraging Self-Learning AI for detection and response. Brianna works closely with the Darktrace SOC team to proactively alert customers to emerging threats and investigate unusual behavior in enterprise environments. Brianna holds a Bachelor’s degree in Chemical Engineering from Carnegie Mellon University.