De la préparation au rançongiciel, les étapes d’une cyberattaque
Introduction
Les cybercriminels peuvent s'infiltrer dans les systèmes d'information des entreprises et lancer une attaque, mais le processus peut prendre des heures ou même plusieurs mois.
Ils profitent pour cela de vulnérabilités critiques affectant des systèmes exposés directement sur Internet ou achètent des accès initiaux à des courtiers spécialisés.
Une fois dans le système d’information, les assaillants se déplacent dans l'environnement, acquièrent des privilèges plus élevés jusqu’à obtenir des droits d’administration sur les contrôleurs de domaine. A ce moment-là, ils peuvent désactiver les protections, effacer les sauvegardes, exfiltrer des données sensibles et détruire leurs traces.
Bien comprendre les principales étapes d’une cyberattaque et, amont, de sa préparation, permet d’identifier les opportunités de détection présentes tout au long de ce que l’on appelle une cynétique d’attaque.
1Préparation-
Obtention de l’accès initial via infostealer
Infostealers : une menace encore largement (trop) furtive
À leur exécution, certains logiciels malveillants dérobeurs de données d’identification listent les antivirus installés sur les ordinateurs qu’ils pillent, pointant ceux qui ne les bloquent pas. Comment l’expliquer ? Des éditeurs nous y ont aidés. Lire la suite
Infostealers : l’explosion invisible
La menace que représentent les logiciels malveillants dérobeurs de données d'identification explose, sans que cela ne soit pleinement visible. Les chiffres hebdomadaires du CERT de Renater aident toutefois à mettre en lumière l’ampleur du phénomène. Lire la suite
Vol d’identifiants : quand s’efface la frontière entre personnel et professionnel
Les maliciels dérobeurs, ou infostealers, ne font pas la différence entre identifiants personnels et professionnels. Mais les courtiers en accès initiaux ne manqueront pas de chercher à valoriser les seconds. Lire la suite
Comment sont distribués les infostealers ?
Ces maliciels voleurs de données – notamment d’authentification – sont distribués par toute une variété de moyens. Mais de plus en plus, des acteurs spécialisés semblent mis à contribution. Ils sont appelés « traffers ». Lire la suite
2Préliminaire-
Exploitation de vulnérabilité
Ces vulnérabilités qui nécessitent plus qu’un correctif
De nombreuses vulnérabilités sont, ou ont été, exploitées par des cybercriminels pour mettre un pied dans le système d’information de victimes en devenir. Appliquer les correctifs ne suffit pas pour se protéger. Lire la suite
Patch Tuesday d’avril : une faille déjà utilisé avec un ransomware
Le lot de correctifs de Microsoft pour le mois d’avril se distingue par le traitement de 7 vulnérabilités critiques, dont une déjà exploitée dans le cadre d’attaques avec ransomware. Lire la suite
Le groupe SEB déplore « une tentative d’exploitation de vulnérabilité »
Dans un communiqué de presse, le groupe spécialiste du petit équipement domestique, évoque un incident survenu mi-mars et ayant entraîné une intrusion dans son système d’information. Lire la suite
Ransomware : combien de victimes en devenir qui s’ignorent encore ?
Le système d’information de votre organisation est peut-être, voire même probablement, déjà noyauté par un, sinon plusieurs cyberdélinquants. Il est peut-être temps d’en prendre conscience avant de devenir le suivant, sur la liste des victimes. Lire la suite
3Marché-
Valoriser les accès initiaux
Cyberattaques : qu’est-ce qu’un accès initial ?
Le monde de la cybersécurité est marqué par un jargon qui lui est bien propre. Certains termes peuvent manquer de clarté pour le non-initié. Lindsay Kaye, de Recorded Future, nous aide à décoder le concept d’accès initial. Lire la suite
Ransomware : le rôle clé des courtiers en accès initiaux
Les « initial access brokers » sont des cybermalfaiteurs ayant réussi à prendre pied dans le système d’information d’une organisation et qui revendent cet accès à des tiers susceptibles d’attaquer avec un ransomware. Lire la suite
Ransomware : pourquoi les attaquants se trompent parfois sur leur cible
Les cybercriminels s’appuient sur les services en ligne de ZoomInfo et de Dun & Bradstreet pour qualifier leurs potentielles victimes en devenir. Des services susceptibles d’induire en erreur les attaquants. Lire la suite
Ransomware : comment les Conti préparent leurs cyberattaques
Les conversations entre membres du cybergang Conti montrent qu’il dispose d’accès initiaux aux systèmes d’information de nombreuses organisations à travers le monde. Et pour certains, depuis plusieurs mois, alors qu’aucune attaque n’a encore été tentée. Lire la suite
4Intrusion-
De l’exploration à la prise de contrôle
Cyberattaques : en quoi consiste le déplacement latéral ?
Le monde de la cybersécurité est marqué par un jargon qui lui est bien propre. Certains termes peuvent manquer de clarté pour le non-initié. Lindsay Kaye, de Recorded Future, nous aide à décoder le concept de déplacement latéral. Lire la suite
Mimikatz, déplacement latéral : comment se protéger ?
Ce logiciel – ou du moins les techniques qu’il utilise pour dérober des données d’authentification – est souvent impliqué dans les attaques de ransomware. Son créateur, Benjamin Delpy, explique comment s’en protéger. Lire la suite
La microsegmentation pour réduire les possibilités de déplacement des attaquants
Les attaquants s’invitent tôt ou tard dans le système d’information d’une entreprise. Construire des zones isolées par microsegmentation peut aider à limiter la dangerosité effective de leurs opérations en limitant leurs capacités de déplacement latéral. Lire la suite
Cyberattaques : six façons de prévenir l’élévation de privilèges
Les privilèges encadrent les accès d’un utilisateur ou d’un appareil aux ressources du système d’information. Les pirates parvenant à élever leurs privilèges peuvent causer des dégâts considérables. Mais ce n’est pas une fatalité. Lire la suite
5Exfiltration-
Le vol de données
Face aux ransomwares : surveiller les services de stockage cloud
L’utilisation de ces services pour l’exfiltration de données, volées par les attaquants dans le système d’information de leurs victimes, n’est pas nouvelle. Mais elle apparaît observée de plus en plus fréquemment. Lire la suite
Cyberattaques : ces services utilisés pour exfiltrer et récupérer de l’outillage
L’utilisation de services cloud pour l’exfiltration de données et le téléchargement d'outils, avant déclenchement de ransomware s’il y a, est courante. Tour d’horizon des services régulièrement observés lors de cyberattaques. Lire la suite
Mise à jour du guide « StopRansomware » sur fond d’évolution des tactiques
La CISA américaine vient de mettre à jour son guide anti-ransomware pour tenir compte de l’évolution du paysage de la menace. De plus en plus d’acteurs malveillants sautent l’étape du chiffrement et se concentrent sur le vol de données et l’extorsion. Lire la suite
Cyberattaque au CHU de Rennes : un acteur stoppé en phase d’exfiltration
Soit le centre hospitalier a été victime d’un attaquant ne pratiquant que la simple extorsion, avec seulement vol de données et sans chiffrement, soit la détection a prévenu le déclenchement d’un ransomware. Lire la suite
6Chiffrement-
L’étape finale
Cyberextorsion : ces cyberattaques avec chiffrement, mais sans ransomware
Lorsque l’on pense cyberattaque avec chiffrement on pense généralement ransomware ; à savoir maliciel spécifique chargé du chiffrement des données. Mais c’est oublier notamment les cas impliquant simplement BitLocker. Lire la suite
Ransomware : quand les attaquants détruisent les sauvegardes
Face à la menace des ransomwares, toutes les architectures de sauvegarde ne se valent pas. Plusieurs exemples concrets en ont fait la démonstration. Lire la suite
Ransomware : la menace de divulgation en plus du chiffrement
De premiers cas de ce type ont commencé à apparaître. Le début d’une tendance de fond pour 2020 avec la menace d’une double peine pour les victimes dans certaines régions du monde ? Lire la suite
Cyberattaque : deux rançongiciels pour un seul attaquant ?
Récemment, une même victime a été revendiquée chez LockBit 3.0 ainsi que chez Trigona. Plusieurs l’ont été chez Snatch, de même que chez Nokoyama. Que s’est-il passé ? Lire la suite
Ce que l’on sait des rançongiciels pour VMware ESXi
La menace des ransomwares concerne les infrastructures virtualisées avec l’hyperviseur ESXi de VMware depuis plusieurs années. Qilin vient d’allonger la liste, non sans une certaine originalité. Lire la suite