beebright - stock.adobe.com

Ransomware : combien de victimes en devenir qui s’ignorent encore ?

Le système d’information de votre organisation est peut-être, voire même probablement, déjà noyauté par un, sinon plusieurs cyberdélinquants. Il est peut-être temps d’en prendre conscience avant de devenir le suivant, sur la liste des victimes.

Cet article est extrait d'un de nos magazines. Téléchargez gratuitement ce numéro de : Information Sécurité: Information sécurité 24 - Infostealers, la menace oubliée

À l’automne 2020, rapportent nos confrères de Wired, l’un des membres clés du groupe Trickbot, lançait aux autres : « [attaquons] les cliniques aux États-Unis cette semaine. Ce sera la panique ». Et de fournir une liste de 428 établissements de santé outre-Atlantique. Cette situation suggère que le cybergang avait à sa disposition de quoi s’introduire dans le système d’information de ces établissements.

Le groupe Trickbot est impliqué dans les activités de cyber extorsion impliquant des ransomwares. Le FBI a récemment alerté sur l’un d’entre eux, distribué par le groupe Trickbot : Diavol. Les équipes de Fortinet s’étaient penchées dessus en juillet 2020. Le groupe de cybermalfaiteurs a également été lié à des cyberattaques avec les rançongiciels Conti et Ryuk. Crowdstrike attribue notamment Ryuk à un groupe qu’il appelle Grim Spider, et qu’il considère comme un sous-groupe de Wizard Spider, créateur de Trickbot.

Les accès initiaux sont l’une des clés de voûte de l’économie souterraine des ransomwares : comme leur nom le suggère, ils sont utilisés, par les attaquants, pour s’introduire dans le système d’information de leurs victimes en devenir. Certains cyberdélinquants lançant des attaques avec rançongiciel établissent eux-mêmes leurs accès initiaux, à l’instar du groupe Karma. Ce dernier nous avait indiqué, l’an dernier, dans un échange de mails, procéder ainsi. D’autres groupes les achètent auprès de courtiers, les initial access brokers (IAB).

Digital Shadows surveille les activités de ces courtiers depuis 2014. En 2020, l’éditeur a observé plus de 500 offres de cette nature. Ce n’est probablement qu’une fraction de la réalité. De son côté, Kela faisait état, en juin 2021, de plus d’un millier d’offres au cours des 12 mois précédents, avec un prix moyen de 5 400 $ par accès.

Depuis plusieurs années, de nombreuses vulnérabilités sont, ou ont été, exploitées par des cybercriminels pour mettre un pied dans le système d’information de victimes en devenir. Appliquer les correctifs disponibles pour ces vulnérabilités ne suffit pas pour se protéger.

À titre d’exemple, il n’a fallu que quelques jours pour que commence à être exploitée la vulnérabilité dite Log4Shell, référencée CVE-2021-44228. Celle-ci a été dévoilée début décembre 2021. Mais dès le 11 décembre, Microsoft alertait sur l’exploitation de la vulnérabilité Log4Shell pour l’installation de balises Cobalt Strike. Moins d’une semaine plus tard, AdvIntel indiquait que les cybermalfaiteurs liés à la franchise de ransomware Conti procédaient ainsi, contre les instances vCenter affectées. Les instances VMware Horizon ne sont pas épargnées.

La vulnérabilité CVE-2022-29499, qui a affecté les systèmes de téléphonie sur IP Mitel, a été exploitée par des membres du groupe Lorenz. Mais seulement pour établir une tête de pont, dans un premier temps. Les chercheurs de S-RM expliquent ainsi être intervenus chez un client qui avait appliqué les correctifs en juillet 2022. Las, les cybercriminels avaient eu le temps d'exploiter la vulnérabilité pour déployer un webshell... une semaine plus tôt. La cyberattaque ayant débouché sur le déploiement d'un rançongiciel surviendra 5 mois plus tard. 

Selon l’adage, la question n’est pas de savoir si l’on sera attaqué avec un ransomware, mais quand. C’est d’autant plus vrai avec ces vulnérabilités pour lesquelles la question est de savoir si les correctifs ont été appliqués, avant qu’une compromission silencieuse n’ait eu lieu. Avant que des comptes techniques ou d’utilisateurs ne soient détournés, ou que des nouveaux ne soient créés. 

Le corollaire de cette question est évident : combien de temps faudra-t-il à un acteur malveillant pour mettre à profit un accès initial établi via l’exploitation de l’une de ces vulnérabilités ? Et ainsi, sur combien d’accès initiaux « dormants » certains cyberdélinquants se reposent-ils, attendant l’opportunité de les vendre, après avoir suffisamment documenté la cible correspondante pour en retirer le meilleur prix ?

Ainsi, sans même parler de toutes les organisations qui exposent encore, sur Internet, sans protection, des systèmes affectés par des vulnérabilités critiques susceptibles d’être exploitées pour prendre pied dans leur système d’information, une question s’impose  : combien de victimes en devenir de rançongiciels s’ignorent encore ?

Publication initiale le 3 février 2022.

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)