Getty Images

Conseil

Ransomware : les 6 étapes de la cinétique d'une cyberattaque

Connaître son ennemi. En comprenant les étapes du cycle de vie des ransomwares, les équipes de sécurité des entreprises peuvent protéger au mieux leur organisation contre les attaques.

par
Publié le: 12 déc. 2024

Les ransomwares sont une épine dans le pied des professionnels de la sécurité informatique depuis près de trente ans, et rien ne suggère qu'ils appelés à disparaître. Cette forme d'extorsion par vol de données continue de sévir dans les organisations de tous types et de toutes tailles.

Bien que les méthodes et les tactiques des ransomwares aient évolué au cours de ces dernières années, et tout particulièrement depuis 2019, l'attaque typique suit toujours une série d'étapes cohérentes, commençant par la distribution du logiciel malveillant et se terminant par l'extorsion. Une compréhension approfondie du cycle de vie des ransomwares peut donner aux équipes de sécurité des indications importantes pour se défendre contre de telles attaques.

Le cycle de vie d'une cyberattaque avec ransomware comprend généralement les étapes suivantes.

1. Intrusion dans le système d'information

Pour lancer le cycle de vie d'un ransomware, les opérateurs doivent commencer par s'inviter dans le système d'information de leur victime en devenir.

Cela peut passer par le recours à un maliciel qu'un utilisateur de l'organisation aura été conduit à exécuter sur son poste. Il peut s'agir d'une pièce jointe malveillante ou d'un maliciel téléchargé sur Internet et maquillé pour donner l'impression d'un document légitime important, comme une facture, par exemple.

Mais les assaillants peuvent également leurrer l'utilisateur via d'autre moyens de communication, par exemple en prétendant appartenir aux équipes de support informatique, pour amener au déploiement d'un outil de support et de prise de contrôle à distance tout à fait légitime. Mais utilisé de manière illégitime.

Mais ce ne sont pas les seuls vecteurs d'intrusion initiale. Il faut aussi compter l'exploitation de vulnérabilités non corrigées affectant des systèmes exposés directement sur Internet et, de préférence, permettant une exécution de code arbitraire à distance, sans authentification.

À cela s'ajoute le détournement de comptes d'utilisateurs - à partir d'identifiants volés ou en force brute - sur des systèmes et services permettant d'accéder, à des distances, à des ressources internes au système d'information : services de déport d'affichage comme RDP, les fermes RDWeb, systèmes d'accès à des environnements virtualisés comme VMware Horizon ou Citrix Netscaler Gateway, notamment. Et n'oublions pas les accès VPN, en particulier VPN SSL permettant de se connecter depuis le navigateur Web (auquel les utilisateurs seront assurément tentés de confier leurs identifiants pour se connecter plus vite).

2. Commande et contrôle

Une fois l'intrusion initiale réussie, l'assaillant va tâcher de s'assurer une persistance dans l'environnement compromis, de préférence indépendante de son vecteur d'intrusion initial.

Cela implique fréquemment le recours à un logiciel tel qu'une balise Cobalt Strike qui communiquera avec ce que l'on appelle un serveur de commande et de contrôle (serveur C&C), situé à l'extérieur du système d'information de l'organisation. Ce serveur, contrôlé par les acteurs malveillants, est utilisé pour interagir à distance et furtivement avec la tête de pont déposée dans l'environnement cible. Il peut ainsi servir à déployer des logiciels malveillants additionnels et des logiciels de balayage réseau pour faciliter la découverte et le déplacement latéral lors de la phase suivante de l'attaque.

3. Découverte et mouvement latéral

À ce stade, l'assaillant a accès à une machine du système d'information. Certains d'entre eux s'en contenteront, à plus forte raison si l'environnement dans lequel ils se trouvent est rigoureusement segmenté. Ils n'en essaieront probablement pas moins de chercher à savoir s'ils peuvent aller plus loin. C'est là que l'on parle de reconnaissance, suivie de déplacement latéral dans le système d'information

À chaque nouvel hôte découvert et compromis avec succès, l'assaillant tentera d'élever ses privilèges : pas question pour lui de contenter des droits d'un simple utilisateur ; il lui faut plus s'il veut une chance de mettre la main sur un contrôleur de domaine, en devenir maître, et ainsi frapper très lors de l'exécution de son rançongiciel.

Pour élever leurs privilèges, les assaillants peuvent tenter d'obtenir des données d'identification de comptes administrateur, en mémoire vive, à l'aide d'outils de test d'intrusion comme Mimikatz, ou exploiter des vulnérabilités critiques non corrigées. Exemple de ce dernier cas : l'exploitation de vulnérabilités sur des serveurs Exchange non exposés directement sur Internet et présumés en sécurité, dans le cadre d'une configuration Office 365 hybride. Ce dernier scénario est susceptible d'accélérer considérablement la progression de l'attaquant.

4. Vol de données et chiffrement

Une fois maître du domaine, l'assaillant a généralement toute latitude pour accéder aux ressources de stockage de données et en exfiltrer une quantité plus ou moins importante, de manière plus ou moins rapide. Certains utilisent des outils dédié - les enseignes LockBit 3.0 et BlackMatter mettaient les leurs à disposition de leurs affidés - ou le client Mega, voire plus prosaiquement, le logiciel Rsync.

Lorsque l'exfiltration des données est terminée, l'acteur malveillant peut profiter de son contrôle de l'environnement compromis pour désactiver les systèmes de protection des hôtes, ou l'EDR, puis déployer largement son rançongiciel et lancer son exécution.

5. Extorsion de fonds

Une fois que le logiciel malveillant a chiffré les fichiers sur les appareils cibles, le processus d'extorsion commence. À ce stade, les utilisateurs voient généralement apparaître un message contenant les informations suivantes :

  • Notification de la compromission.
  • Instructions pour engager la négociation.
  • Adresse du site vitrine sur lequel sera revendiqué l'attaque.

Si les cybercriminels ont téléchargé des fichiers sur une infrastructure tierce - voire distribuée comme Hunters International -, ils vont également menacer de rendre publiques les données dans le cadre d'une tactique connue sous le nom de double extorsion. Le ransomware à triple extorsion implique un troisième élément, tel qu'une attaque DDoS ou une extorsion parallèle des clients ou partenaires de l'organisation.

Certains acteurs malveillants pratiquent également une extorsion simple sans chiffrement, s'appuyant simplement sur la menace de divulgation des données volées à la victime pour faire chanter cette dernière.

6. Résolution

Dès qu'elle découvre qu'une attaque avec ransomware est en cours, l'équipe de sécurité doit agir rapidement pour isoler l'infection en déconnectant. Éteindre les hôtes concernés n'est pas une bonne idée : les clés de chiffrement peuvent être encore accessibles en mémoire et s'avérer d'une aide précieuse pour... déchiffrer les données. La déconnection et l'isolation du système d'information sont en revanche indispensables pour empêcher l'assaillant de profiter de ses efforts de persistance pour provoquer plus dégâts - voire surveiller les activités de remédiation des équipes de sécurité.

À ce stade, les options d'une organisation sont souvent limitées. Dans un scénario idéal, des sauvegardes hors ligne - car les attaquants ne manquent pas de les viser - et un plan de récupération en cas de ransomware permettent de restaurer les données critiques et de reprendre les activités de l'entreprise sans qu'il soit nécessaire d'engager les attaquants.

Dans de nombreux cas, cependant, les dirigeants doivent choisir de payer une rançon, de négocier avec les attaquants ou de reconstruire leurs systèmes informatiques à partir de zéro. Il est à noter que le paiement d'une rançon ne garantit pas que l'organisation récupère toutes ses données, et en tout cas pas rapidement : les outils de déchiffrement fournis par les assaillants ne passent généralement pas à l'échelle de manière à permettre une remédiation industrielle.

Les experts conseillent généralement à toutes les organisations de signaler les attaques de ransomware aux autorités, telles que l'Anssi, la police nationale et la gendarmerie, de manière transparente, y compris en cas de paiement. En fonction de leur secteur et du type de données concernées, certaines organisations sont légalement tenues de le faire. En outre, elles peuvent ainsi éventuellement profiter de capacité de déchiffrement inconnues du public, liées à des faiblesses dans le rançongiciel.

C'est aussi une bonne raison de conserver les données chiffrées qui n'auraient pas pu être restaurées à partir de sauvegardes, à part, afin de permettre leur déchiffrement dans le cas de la mise à disposition publique d'outils de déchiffrement adaptés - cela s'est vu dans plusieurs cas, dont Hive, Rhysida ou encore Darkside.

Comment se défendre contre les ransomwares

Protéger une organisation contre les ransomwares n'est pas chose aisée. Elle nécessite une défense en profondeur de la cybersécurité, en commençant par des mesures de sécurité fondamentales de niveau professionnel, notamment des pare-feu, des systèmes de prévention des intrusions, des sauvegardes hors site et une authentification multifactorielle (MFA). 

Les outils et techniques de sécurité avancés peuvent réduire considérablement le risque d'intrusion et augmenter les chances de découvrir et d'interrompre une attaque avec ransomware si elle est en cours. Prenons les exemples suivants :

  • Gestion rigoureuse des correctifs. Les acteurs malveillants exploitent souvent des vulnérabilités non corrigées dans le système d'exploitation ou les applications d'un appareil. Les outils de gestion des correctifs qui remédient automatiquement aux vulnérabilités connues des logiciels peuvent réduire considérablement les chances d'une attaque par ransomware. Et cela recouvre tous les systèmes et services exposés directement sur Internet.
  • EDR et EPP. Les logiciels antivirus permettent d'identifier les variantes connues de maliciels et de s'en protéger. Lorsqu'ils sont installés sur les appareils et dans les applications de messagerie, ces outils interrompent la communication avec les domaines malveillants connus et empêchent l'installation de logiciels malveillants reconnaissables.
  • Logiciel de détection des anomalies. Les capacités de détection des anomalies basées sur l'IA, telles que celles des logiciels d'analyse du comportement des utilisateurs et NDR, analysent en permanence le trafic réseau pour identifier les activités suspectes. Lorsqu'une intrusion de ransomware est suspectée, l'équipe de sécurité peut mettre en quarantaine les appareils infectés afin d'empêcher tout déplacement latéral et toute infection supplémentaire.
  • Microsegmentation du réseau. La microsegmentation permet aux équipes informatiques de limiter les mouvements latéraux. La séparation logique des réseaux en sous-réseaux granulaires, chacun doté de règles de contrôle d'accès personnalisées, empêche les acteurs malveillants d'étendre leur emprise.
  • Gestionnaire des mots de passe. Les gestionnaires de mots de passe managés aident à éviter que les utilisateurs ne confient leurs identifiants à leurs navigateurs, lesquels constituent une proie de choix pour les infostealers, une menace méconnue mais essentielle dans l'économie des rançongiciels et de la cybercriminalité en général.

Enfin, les entreprises devraient dispenser à chaque employé une formation approfondie et continue de sensibilisation à la cybersécurité. Même dans les environnements informatiques dotés de tous les outils de sécurité adéquats, les tentatives d'attaque impliquant le facteur humain finissent trop souvent pas réussir. Les utilisateurs doivent être en mesure d'identifier les messages suspects et d'y résister. Ce qui permet d'interrompre le cycle de vie de certaines attaques avant qu'il ne commence.

Pour approfondir sur Menaces, Ransomwares, DDoS