Ransomware gets its name by commandeering and holding assets ransom, extorting their owner for money in exchange for discretion and full cooperation in returning exfiltrated data and providing decryption keys to allow business to resume.
Le montant moyen des rançons monte en flèche. Il a atteint 5,3 millions de dollars en 2021, soit une augmentation de 518 % par rapport à l’année précédente. Mais le coût associé à la reprise de l’activité après une attaque par ransomware va bien au-delà du montant de la rançon : après une telle attaque, on constate en moyenne un temps d’arrêt de 21 jours et 66 % des victimes de ransomware rapportent une perte importante de chiffre d’affaires.
Dans cette série, nous analysons ce sujet critique en détail, étape par étape. Les ransomwares comportent plusieurs phases distinctes. Pour les combattre, vous avez besoin d’une solution multiphase qui neutralise chaque l’attaque à chaque stade efficacement et de façon autonome. Découvrir comment l’IA Auto-Apprenante et la Réponse Autonome stoppent les ransomwares instantanément.
1. Intrusion initiale (e-mail)
L’accès initial, première phase d’une attaque par ransomware, peut être établi par force brute sur RDP (service Internet vulnérable), via un site web malveillant ou par un téléchargement opportuniste, par un acteur interne malveillant doté d’identifiants appartenant à l’entreprise, par le biais de vulnérabilités de certains systèmes ou logiciels, ou par de nombreux autres vecteurs d’attaque.
Toutefois, l’e-mail demeure le vecteur d’attaque initial le plus courant. La plus grande faiblesse des organisations en matière de securité sont souvent leurs employés. Les cybercriminels le savent et débordent d’imagination pour exploiter cette vulnérabilité. Ils adressent des e-mails ciblés, bien documentés, à l’aspect légitime à certains employés spécifiques dans le but de susciter une réaction : cliquer sur un lien, ouvrir une pièce jointe, confier ses identifiants ou d’autres informations sensibles.
Les passerelles : stoppent ce qui a déjà été observé
La plupart des outils traditionnels de protection de la messagerie s’appuient sur des indicateurs issus d’attaques antérieures pour tenter de détecter la prochaine menace. Si un e-mail provient d’une adresse IP ou d’un domaine sur liste noire et qu’il utilise un malware connu qui a déjà été observé, il est alors possible de bloquer l’attaque.
En réalité, les cybercriminels savent que la majorité des outils de défense adoptent cette approche historique ; c’est pourquoi ils mettent constamment à jour leur infrastructure d’attaque afin d’échapper à ces outils. En achetant de nouveaux domaines pour quelques centimes, ou modifiant légèrement le code des malwares afin de créer des versions personnalisées, ils évitent et devancent l’approche héritée des passerelles e-mail traditionnelles.
Exemple de situation réelle : attaque par phishing de la chaîne d'approvisionnement
By contrast, Darktrace’s evolving understanding of ‘normal’ for every email user in the organization enables it to detect subtle deviations that point to a threat – even if the sender or any malicious contents of the email are unknown to threat intelligence. This is what enabled the technology to stop an attack that recently targeted McLaren Racing, with emails sent to a dozen employees in the organization each containing a malicious link. This possible precursor to ransomware bypassed conventional email tools – largely because it was sent from a known supplier – however Darktrace recognized the account hijack and held the email back.
2. Intrusion initiale (côté serveur)
Comme les organisations ont rapidement étendu leur périmètre connecté à Internet, c’est toute la surface d’attaque qui a augmenté. On a donc logiquement observé une explosion des attaques « traditionnelles » par force brute et côté serveur.
De nombreuses vulnérabilités touchant les serveurs et les systèmes connectés à Internet ont été révélées cette année. Du côté des cybercriminels, il n’a jamais été aussi facile de cibler les infrastructures connectées à Internet : des outils tels que Shodan ou MassScan permettent de parcourir facilement Internet à la recherche de systèmes vulnérables.
Les attaquants peuvent également établir un accès initial en employant une approche par force brute RDP ou des identifiants dérobés ; il est d’ailleurs fréquent de recycler des identifiants légitimes obtenus à partir de fuites de données antérieures. Cette méthode est bien plus précise et génère moins de bruit qu’une attaque par force brute classique.
De nombreux ransomwares utilisent le protocole RDP comme vecteur d’entrée. Cette méthode s’inscrit dans une tendance plus générale, celle du « Living off the Land » : il s’agit d’utiliser des outils légitimes disponibles dans le commerce (utilisation abusive des protocoles RDP ou SMB1 ou d’outils de ligne de commande WMI ou Powershell) pour désorienter les outils de détection et d’attribution en se fondant parmi les activités typiques des administrateurs. Il ne suffit pas de s’assurer que les sauvegardes sont isolées, les configurations renforcées et les correctifs système appliqués : la détection en temps réel de chaque action anormale est vitale.
Antivirus, pare-feu et SIEM
Les antivirus présents sur les endpoints sont uniquement capables de détecter les téléchargements de malware si ce malware a déjà été observé et consigné. Les pare-feu requièrent en général une configuration spécifique à chaque organisation ; ils doivent souvent être modifiés en fonction de l’évolution des besoins de l’entreprise. Si le pare-feu ne contient aucune règle ou signature correspondant exactement à l’attaque rencontrée, il la laissera passer.
Les outils SIEM et SOAR recherchent également des malwares connus en s’appuyant sur des règles prédéfinies et des réponses préprogrammées. Même si ces outils recherchent bel et bien des modèles anormaux, ces modèles sont définis à l’avance, et leur approche part du principe qu’une nouvelle attaque ressemblera suffisamment à des attaques déjà connues.
Exemple de situation réelle : ransomware Dharma
Darktrace a détecté au Royaume-Uni une attaque ciblée utilisant le ransomware Dharma, lancée en exploitant une connexion RDP ouverte sur des serveurs connectés à Internet. Le serveur RDP a commencé à recevoir un grand nombre de connexions entrantes provenant d’adresses IP rares via Internet. L’identifiant RDP utilisé pour cette attaque avait sans doute été compromis avant l’attaque, soit par force brute, soit par des attaques de type stuffing ou phishing. Parmi les techniques couramment utilisées, l’une des plus populaires en ce moment consiste à acheter des identifiants RDP et à passer directement à l’accès initial.
Figure 2 : violations de modèle déclenchées au cours de cette attaque, notamment concernant l’activité RDP anormale
Malheureusement, dans ce cas, la Réponse Autonome n’était pas installée et le ransomware Dharma a continué son déploiement jusqu’aux étapes finales. L’équipe de sécurité a alors dû intervenir de façon agressive en déconnectant le serveur RDP en plein chiffrement.
3. Mise en place de l’accès initial d’un canal C2
Que ce soit grâce au phishing, à une attaque par force brute ou toute autre méthode, le cybercriminel réussit à pénétrer le réseau. Il prend ensuite contact avec la ou les machine(s) compromise(s) afin d’établir une présence initiale.
Cette étape permet à l’attaquant de contrôler à distance les phases suivantes de l’attaque. Tout au long de ces communications de commande et contrôle (C2), d’autres malwares peuvent être transmis aux machines. Ils renforcent la présence de l’attaquant au sein de l’organisation et facilitent les déplacements latéraux.
Les cybercriminels peuvent adapter les fonctionnalités des malwares à l’aide de différents plug-ins prêts à l’emploi, qui leur permettent de se faire discrets sur le réseau d’entreprise. Les ransomwares modernes et sophistiqués sont capables de s’adapter eux-mêmes à leur environnement et d’opérer de façon autonome, en se fondant dans l’activité normale de l’entreprise, même lorsqu’ils sont déconnectés de leur serveur de commande et contrôle. Ces ransomwares « autosuffisants » posent un problème de taille aux outils traditionnels, qui détectent uniquement les menaces en fonction des connexions externes indésirables qu’elles ont établies.
La détection des connexions isolées face à une compréhension globale de l’entreprise
Les outils de sécurité traditionnels, tels que les systèmes de détection d’intrusions (IDS) et les pare-feu, ont tendance à examiner les connexions isolément au lieu de s’intéresser aux connexions précédentes, potentiellement pertinentes, ce qui rend la détection des canaux C2 très difficile.
Les IDS et les pare-feu sont capables de bloquer les domaines malveillants connus ou d’utiliser une forme de blocage par géolocalisation, mais un cybercriminel averti utiliserait probablement une nouvelle infrastructure dans un tel cas.
Certains aspects ne sont pas analysés par ces outils : la périodicité, la régularité ou l’irrégularité des connexions de communication, l’âge ou encore la rareté du domaine dans le contexte de l’environnement.
Darktrace adapte constamment sa compréhension de l’entreprise numérique. Ainsi, les connexions C2 suspectes et les téléchargements qui s’ensuivent sont détectés, même si le cybercriminel utilise des programmes et des méthodes habituelles pour l’entreprise. La technologie d’IA corrèle de multiples signaux subtils indicateurs de menaces en tenant compte notamment des connexions anormales vers des endpoints récents et/ou inhabituels, des téléchargements de fichiers anormaux, des connexions RDP entrantes, ainsi que des téléversements et téléchargements de données inhabituels.
Once they are detected as a threat, Darktrace RESPOND halts these connections and downloads, while allowing normal business activity to continue.
Exemple de situation réelle : attaque WastedLocker
Lorsqu’une attaque menée à l’aide du ransomware WastedLocker a touché un institut agricole aux États-Unis, Darktrace a immédiatement détecté l’activité C2 SSL initiale inhabituelle (en rapprochant la rareté de la destination, le caractère inhabituel de la méthodologie JA3 et l’analyse de fréquence). Antigena (qui était alors déployée en mode passif, et ne pouvait donc pas mettre en place d’actions autonomes) a immédiatement suggéré de bloquer le trafic C2 sur le port 443 et le scan interne parallèle sur le port 135.
Lorsque des activités de balisage ont ensuite été observées vers bywce.payment.refinedwebs[.]com, cette fois via HTTP vers /updateSoftwareVersion, Antigena a relevé son niveau de réponse en bloquant les autres canaux C2.
4. Lateral movement
Une fois qu'un attaquant a pris pied au sein d'une organisation, il commence à approfondir sa connaissance de l'ensemble du patrimoine numérique et de sa présence dans celui-ci. C'est ainsi qu'il trouvera et accédera aux fichiers qu'il tentera finalement d'exfiltrer et de chiffrer. Il commence par la reconnaissance : scanner le réseau, dresser une image des dispositifs qui le composent, identifier l'emplacement des actifs les plus précieux.
Then the attacker begins moving laterally. They infect more devices and look to escalate their privileges – for instance, by obtaining admin credentials – thereby increasing their control over the environment. Once they have obtained authority and presence within the digital estate, they can progress to the final stages of the attack.
Modern ransomware has built-in functions that allow it to search automatically for stored passwords and spread through the network. More sophisticated strains are designed to build themselves differently in different environments, so the signature is constantly changing and it’s harder to detect.
Legacy tools: A blunt response to known threats
Because they rely upon static rules and signatures, legacy solutions struggle to prevent lateral movement and privilege escalation without also impeding essential business operations. Whilst in theory, an organization leveraging firewalls and NAC internally with proper network segmentation and a perfect configuration could prevent cross-network lateral movement, maintaining a perfect balance between protective and disruptive controls is near impossible.
Some organizations rely on Intrusion Prevent Systems (IPS) to deny network traffic when known threats are detected in packets, but as with previous stages, novel malware will evade detection, and this requires the database to be constantly updated. These solutions also sit at the ingress/egress points, limiting their network visibility. An Intrusion Detection System (IDS) may sit out-of-line, but doesn’t have response capabilities.
Une approche auto-apprenante
Darktrace’s AI learns ‘self’ for the organization, enabling it to detect suspicious activity indicative of lateral movement, regardless of whether the attacker uses new infrastructure or ‘lives off the land’. Potential unusual activity that Darktrace detects includes unusual scanning activity, unusual SMB, RDP, and SSH activity. Other models that fire at this stage include:
- Suspicious Activity on High-Risk Device
- Numeric EXE in SMB Write
- New or Uncommon Service Control
Autonomous Response then takes targeted action to stop the threat at this stage, blocking anomalous connections, enforcing the infected device’s ‘pattern of life’, or enforcing the group ‘pattern of life’ – automatically clustering devices into peer groups and preventing a device from doing anything its peer group hasn’t done.
Where malicious behavior persists, and only if necessary, Darktrace will quarantine an infected device.
Real-world example: Unusual chain of RDP connections
At an organization in Singapore, one compromised server led to the creation of a botnet, which began moving laterally, predominantly by establishing chains of unusual RDP connections. The server then started making external SMB and RPC connections to rare endpoints on the Internet, in an attempt to find further vulnerable hosts.
Other lateral movement activities detected by Darktrace included the repeated failing attempts to access multiple internal devices over the SMB file-sharing protocol with a range of different usernames, implying brute-force network access attempts.
5. Data exfiltration
In the past, ransomware was simply about encrypting an operating system and network files.
In a modern attack, as organizations insure against malicious encryption by becoming increasingly diligent with data backups, threat actors have moved towards ‘double extortion’, where they exfiltrate key data and destroy backups before the encryption takes place. Exfiltrated data is used to blackmail organizations, with attackers threatening to publish sensitive information online or sell it on to the organization’s competitors if they are not paid.
Modern ransomware variants also look for cloud file storage repositories such as Box, Dropbox, and others.
Many of these incidents aren’t public, because if IP is stolen, organizations are not always legally required to disclose it. However, in the case of customer data, organizations are obligated by law to disclose the incident and face the additional burden of compliance files – and we’ve seen these mount in recent years (Marriot, $23.8 million; British Airways, $26 million; Equifax, $575 million). There’s also the reputational blow associated with having to inform customers that a data breach has occurred.
Legacy tools: The same old story
For those that have been following, the narrative by now will sound familiar: to stop a ransomware attack at this stage, most defenses rely on either pre-programmed definitions of 'bad' or have rules constructed to combat different scenarios put organizations in a risky, never-ending game of cat and mouse.
A firewall and proxy might block connections based on pre-programmed policies based on specific endpoints or data volumes, but it’s likely an attacker will ‘live off the land’ and utilize a service that is generally allowed by the business.
The effectiveness of these tools will vary according to data volumes: they might be effective for ‘smash and grab’ attacks using known malware, and without employing any defense evasion techniques, but are unlikely to spot ‘low and slow’ exfiltration and novel or sophisticated strains.
On the other hand, because by nature it involves a break from expected behavior, even less conspicuous, low and slow data exfiltration is detected by Darktrace and stopped with Darktrace RESPOND. No confidential files are lost, and attackers are unable to extort a ransom payment through blackmail.
Real-world example: Unusual chain of RDP connections
It becomes more difficult to find examples of Darktrace RESPOND stopping ransomware at these later stages, as the threat is usually contained before it gets this far. This is the double-edged sword of effective security – early containment makes for bad storytelling! However, we can see the effects of a double extortion ransomware attack on an energy company in Canada. The organization had the Enterprise Immune System but no Antigena, and without anyone actively monitoring Darktrace’s AI detections, the attack was allowed to unfold.
The attacker managed to connect to an internal file server and download 1.95TB of data. The device was also seen downloading Rclone software – an open-source tool, which was likely applied to sync data automatically to the legitimate file storage service pCloud. Following the completion of the data exfiltration, the device ‘serverps’ finally began encrypting files on 12 devices with the extension *.06d79000. As with the majority of ransomware incidents, the encryption happened outside of office hours – overnight in local time – to minimize the chance of the security team responding quickly.
Read the full details of the attack
It should be noted that the exact order of the stages 3–5 above is not set in stone, and varies according to attack. Sometimes data is exfiltrated and then there is further lateral movement, and additional C2 beaconing. This entire period is known as the ‘dwell time’. Sometimes it takes place over only a few days, other times attackers may persist for months, slowly gathering more intel and exfiltrating data in a ‘low and slow’ fashion so as to avoid detection from rule-based tools that are configured to flag any single data transfer over a certain threshold. Only through a holistic understanding of malicious activity over time can a technology spot this level of activity and allow the security team to remove the threat before it reaches the latter and most damaging stages of ransomware.
6. Data encryption
Using either symmetric encryption, asymmetric encryption, or a combination of the two, attackers attempt to render as much data unusable in the organization’s network as they can before the attack is detected.
As the attackers alone have access to the relevant decryption keys, they are now in total control of what happens to the organization’s data.
Pre-programmed response and disruption
There are many families of tools that claim to stop encryption in this manner, but each contain blind spots which enable a sophisticated attacker to evade detection at this crucial stage. Where they do take action, it is often highly disruptive, causing major shutdowns and preventing a business from continuing its usual operations.
Internal firewalls prevent clients from accessing servers, so once an attacker has penetrated to servers using any of the techniques outlined above, they have complete freedom to act as they want.
Similarly, antivirus tools look only for known malware. If the malware has not been detected until this point, it is highly unlikely the antivirus will act here.
Stopping encryption autonomously
Even if familiar tools and methods are used to conduct it, Autonomous Response can enforce the normal ‘pattern of life’ for devices attempting encryption, without using static rules or signatures. This action can be taken independently or via integrations with native security controls, maximizing the return on other security investments. With a targeted Autonomous Response, normal business operations can continue while encryption is prevented.
7. Ransom note
It is important to note that in the stages before encryption, this ransomware attack is not yet “ransomware”. Only at this stage does it gets its name.
A ransom note is deployed. The attackers request payment in return for a decryption key and threaten the release of sensitive exfiltrated data. The organization must decide whether to pay the ransom or lose their data, possibly to their competition or the public. The average demand made by ransomware threat actors rose in 2021 to $5.3 million, with meat processing company JBS paying out $11 million and DarkSide receiving over $90 million in Bitcoin payments following the Colonial Pipeline incident.
All of the stages up until this point represent a typical, traditional ransomware attack. But ransomware is shifting from indiscriminate encryption of devices to attackers targeting business disruption in general, using multiple techniques to hold their victims to ransom. Additional methods of extortion include not only data exfiltration, but corporate domain hijack, deletion or encryption of backups, attacks against systems close to industrial control systems, targeting company VIPs… the list goes on.
Sometimes, attackers will just skip straight from stage 2 to 6 and jump straight to extortion. Darktrace recently stopped an email attack which showed an attacker bypassing the hard work and attempting to jump straight to extortion in an email. The attacker claimed to have compromised the organization’s sensitive data, requesting payment in bitcoin for its same return. Whether or not the claims were true, this attack shows that encryption is not always necessary for extortion, and this type of harassment exists in multiple forms.
As with the email example we explored in the first post of this series, Darktrace/Email was able to step in and stop this email where other email tools would have let it through, stopping this potentially costly extortion attempt.
Whether through encryption or some other kind of blackmail, the message is the same every time. Pay up, or else. At this stage, it’s too late to start thinking about any of the options described above that were available to the organization, that would have stopped the attack in its earliest stages. There is only one dilemma. “To pay or not to pay” – that is the question.
Often, people believe their payment troubles are over after the ransom payment stage, but unfortunately, it’s just beginning to scratch the surface…
8. Clean-up
Efforts are made to try to secure the vulnerabilities which allowed the attack to happen initially – the organization should be conscious that approximately 80% of ransomware victims will in fact be targeted again in the future.
Legacy tools largely fail to shed light on the vulnerabilities which allowed the initial breach. Like searching for a needle in an incomplete haystack, security teams will struggle to find useful information within the limited logs offered by firewalls and IDSs. Antivirus solutions may reveal some known malware but fail to spot novel attack vectors.
With Darktrace’s Cyber AI Analyst, organizations are given full visibility over every stage of the attack, across all coverage areas of their digital estate, taking the mystery out of ransomware attacks. They are also able to see the actions that would have been taken to halt the attack by Darktrace RESPOND.
9. Recovery
The organization begins attempts to return its digital environment to order. Even if it has paid for a decryption key, many files may remain encrypted or corrupted. Beyond the costs of the ransom payment, network shutdowns, business disruption, remediation efforts, and PR setbacks all incur hefty financial losses.
The victim organization may also suffer additional reputation costs, with 66% of victims reporting a significant loss of revenue following a ransomware attack, and 32% reporting losing C-level talent as a direct result from ransomware.
Conclusion
While the high-level stages described above are common in most ransomware attacks, the minute you start looking at the details, you realize every ransomware attack is different.
As many targeted ransomware attacks come through ransomware affiliates, the Tools, Techniques and Procedures (TTPs) displayed during intrusions vary widely, even when the same ransomware malware is used. This means that even comparing two different ransomware attacks using the same ransomware family, you are likely to encounter completely different TTPs. This makes it impossible to predict what tomorrow’s ransomware will look like.
This is the nail in the coffin for traditional tooling which is based on historic attack data. The above examples demonstrate that Self-Learning technology and Autonomous Response is the only solution that stops ransomware at every stage, across email and network.