Des pirates informatiques ignorants ont passé des mois à l’intérieur d’un réseau et personne ne l’a remarqué. Mais ensuite, un gang de rançongiciels est apparu

Les pirates informatiques novices qui ne savaient pas ce qu’ils faisaient ont passé des mois à l’intérieur d’un réseau d’agences gouvernementales sans être détectés, avant que des attaquants plus qualifiés ne les poursuivent et ne lancent une attaque de ransomware.

Analyse de l’incident dans une agence gouvernementale régionale américaine non précisée par les chercheurs en cybersécurité de Sophos a constaté que les intrus amateurs laissaient de nombreux indicateurs indiquant qu’ils se trouvaient dans le réseau. Pourtant, malgré un manque de subtilité et laissant une trace derrière eux, ils n’ont pas été détectés car ce que les chercheurs de Sophos décrivent comme des “choix stratégiques” faits par l’équipe informatique leur a facilité la vie.

Les attaquants ont d’abord fait irruption dans le réseau en utilisant L’une des techniques les plus utilisées par les cybercriminels – violation du mot de passe du protocole Windows Remote Desktop Protocol (RDP) accessible sur Internet sur un pare-feu. On ne sait pas comment le mot de passe lui-même a été piraté, mais les méthodes courantes incluent les attaques par force brute et les e-mails de phishing.

Ils ont également eu de la chance, car le compte RDP compromis n’était pas seulement un administrateur local sur le serveur, mais avait également des autorisations d’administrateur de domaine, permettant au compte d’être exploité pour créer des comptes d’administrateur sur d’autres serveurs et ordinateurs de bureau.

Mais malgré toute cette puissance, les intrus ne semblaient pas savoir quoi faire une fois qu’ils avaient accès au réseau. L’analyse des journaux d’activité a suggéré qu’ils utilisaient les serveurs qu’ils contrôlaient à l’intérieur du réseau pour exécuter des recherches Google afin de rechercher des outils de piratage, puis de suivre des publicités contextuelles pour télécharger des logiciels piratés.

Les chercheurs disent que cela a laissé le serveur criblé de logiciel publicitaire et les pirates infectant involontairement les serveurs qu’ils contrôlaient avec malware. L’organisation de victimes n’a rien remarqué de tout cela.

VOIR: La sécurité du cloud en 2022 : un guide commercial des outils essentiels et des meilleures pratiques

Les données du journal suggèrent que les attaquants disparaissaient régulièrement pendant des jours d’affilée avant de revenir parcourir le réseau, créant parfois de nouveaux comptes pour accéder à d’autres machines. Cela a continué pendant des mois, les attaquants apprenant apparemment à pirater des réseaux au fur et à mesure, ainsi qu’à installer malware de cryptominage sur les serveurs compromis.

“C’était une attaque très désordonnée”, déclare Andrew Brandt, chercheur principal en sécurité chez Sophos. “Ils semblaient alors incertains de ce qu’il fallait faire ensuite”.

Mais après quatre mois, les attaques sont soudainement devenues plus ciblées et plus sophistiquées. Après une interruption de trois semaines sans activité, les attaquants se sont connectés à distance et ont installé l’outil de détection de mot de passe Mimikatz afin d’accéder à des noms d’utilisateur et des mots de passe supplémentaires, en les stockant tous dans un fichier texte sur le bureau des comptes de niveau administrateur qu’ils ont créés.

Ces attaquants ont également cherché à supprimer le coinminer qui avait été précédemment installé et ont tenté de désinstaller le logiciel antivirus sur les terminaux. Il est probable que la plus grande sophistication des attaques signifie que de nouveaux intrus ont eu accès au réseau.

“Lorsque vous voyez un changement brusque dans les objectifs et le niveau de compétence dans une attaque comme celle-ci, dans laquelle le point d’entrée d’origine est à ce moment-là toujours ouvert comme c’était le cas dans ce cas, il y a fort à parier qu’un autre attaquant est entré dans l’espace” dit Brandt.

C’est à ce moment que le service informatique a remarqué que quelque chose d’étrange se passait, mettant les serveurs hors ligne pour enquêter – mais pour ce faire, ils ont également désactivé certaines protections de cybersécurité – et les attaquants en ont profité.

Les intrus ont vidé à plusieurs reprises de nouvelles informations d’identification de compte et créé de nouveaux comptes afin de poursuivre leurs attaques. Les journaux ont également été effacés à plusieurs reprises, dans ce qui aurait pu être une tentative de couvrir leurs traces.

VOIR: Cybersécurité : passons au tactique (rapport spécial ZDNet)

Les nouveaux attaquants beaucoup plus sophistiqués ont également volé un ensemble de fichiers sensibles alors qu’ils travaillaient vers l’objectif final apparent d’un attaque de rançongicielqui chiffre entièrement certaines des machines du réseau avec Logiciel de rançon LockBit. Mais l’attaque n’a pas touché toutes les machines et le service informatique, avec l’aide des analystes de Sophos, a pu nettoyer et restaurer les services.

Cependant, toute l’attaque aurait pu être évitée si de meilleures stratégies de cybersécurité avaient été mises en place, car les attaquants pouvaient entrer et se déplacer librement sur le réseau sans être détectés – d’autant plus que des mesures ont été mises en œuvre pour améliorer l’efficacité plutôt que d’améliorer la cybersécurité, même lorsqu’elle était clair que l’organisation était attaquée.

“La désactivation de fonctionnalités telles que la protection contre les altérations sur les logiciels de sécurité des terminaux semblait être le levier critique dont les attaquants avaient besoin pour supprimer complètement la protection et terminer leur travail sans entrave”, ont déclaré les chercheurs dans le billet de blog.

Postuler authentification multi-facteurs aux comptes d’utilisateurs aurait aidé à empêcher leur exploitation et les notifications de connexion auraient fourni un avertissement que quelque chose de suspect était en cours.

Entre-temps, surveiller correctement le réseau aurait indiqué que quelque chose n’allait pas lorsque les attaquants fouinaient, et certainement avant qu’un autre groupe de pirates ne fasse irruption et jeté les bases d’une attaque par rançongiciel.

“Les défenseurs doivent surveiller leur réseau, que ce soit en interne ou par l’intermédiaire d’un partenaire de services gérés. Garder un œil sur les petites bizarreries ou incidents – même quelque chose d’aussi simple que quelqu’un se connectant à un système à des heures indues ou depuis un lieu inhabituel – peut faire la différence », a déclaré Brandt.

EN SAVOIR PLUS SUR LA CYBERSÉCURITÉ

Leave a Comment