Non classé

Les incidents de ransomware continuent de dominer la menace … – Les meilleures astuces pour son serveur

Le 24 mars 2021 - 7 minutes de lecture

[bzkshopping keyword= »Minecraft » count= »8″ template= »grid »]

L'engagement IR de Cisco Talos a révélé que les attaquants se sont fortement appuyés sur des logiciels malveillants tels que Zloader et BazarLoader pour déployer des ransomwares au cours des trois derniers mois.

Les opérateurs de ransomwares se sont fortement appuyés sur une poignée de chevaux de Troie, des outils de reconnaissance open source et des outils Windows légitimes pour mener bon nombre de leurs attaques au cours du dernier trimestre, selon les données d'incidents gérés par l'équipe Cisco Talos Incident Response (CTIR).

Les données, collectées sur les sites des clients entre novembre 2020 et janvier 2021, ont montré que les attaquants continuent à utiliser massivement des e-mails de phishing contenant des documents malveillants pour envoyer des chevaux de Troie afin de télécharger des ransomwares sur les systèmes de la victime.

Mais contrairement à ces derniers temps où les familles de malwares Emotet et Trickbot étaient les principaux véhicules de distribution de ransomwares, de nombreux chevaux de Troie utilisés à cette fin au cours du dernier trimestre étaient des outils bruts tels que Zloader, BazarLoader et IcedID. Selon l'équipe du CTIR, près de 70% des attaques de ransomwares auxquelles elle a répondu au cours de la période de trois mois ont utilisé ces chevaux de Troie ou des chevaux de Troie similaires pour délivrer des ransomwares.

"Nous avons vu un certain nombre de chevaux de Troie marchands utilisés ce trimestre, contrairement aux trimestres précédents où Trickbot et Emotet étaient dominants", a déclaré Brad Garnett, directeur général de l'équipe Cisco Talos Incident Response.

Pour les entreprises, la tendance peut entraîner encore plus de problèmes sur le front des ransomwares.

«Les chevaux de Troie de produits de base sont faciles à obtenir et offrent de nombreuses possibilités de mouvement latéral, de communication de commande et de contrôle, etc., ce qui peut augmenter l'efficacité d'une attaque par ransomware», note Garnett.

Les données de l'équipe CTIR sur les engagements de réponse aux incidents ont montré que les ransomwares ont dominé le paysage des menaces au cours de la période de trois mois, tout comme il l'a fait au cours des sept derniers trimestres. Les familles de ransomwares les plus productives comprenaient Ryuk, Vatet, WastedLocker et des variantes d'Egregor.

Comme ils l'ont fait par le passé, les opérateurs de ransomwares ont exploité plusieurs outils et outils d'administration open source et légitimes pour faciliter les attaques, se déplacer latéralement dans les réseaux compromis, masquer les activités malveillantes et effectuer d'autres actions. Environ 65% – soit près des deux tiers – des incidents de ransomware auxquels l'équipe Cisco Talos a répondu impliquaient l'utilisation de PowerShell, et 30% des incidents impliquaient l'utilisation de PsExec. Parmi les autres outils gratuits et disponibles dans le commerce et à double usage couramment utilisés, citons Cobalt Strike, CCleaner pour supprimer les fichiers indésirables, TightVNC open source pour permettre le contrôle à distance des PC Windows et Linux, et des logiciels de compression tels que WinRAR et 7-Zip.

Abus d'outils et utilitaires légitimes
L'équipe CTIR a également connu plusieurs incidents où des attaquants ont utilisé des outils de reconnaissance open source tels que l'outil de recherche Active Directory (AD) ADFind, l'outil de collecte d'informations AD ADRecon et l'outil Bloodhound pour visualiser les environnements AD et trouver des chemins d'attaque potentiels.

À titre d'exemple de la manière dont les opérateurs de ransomware exploitent ces outils, l'équipe CTIR a signalé un incident au cours duquel les attaquants, après avoir pris pied sur le réseau victime, ont utilisé la fonction de réplication de stratégie de groupe Windows AD pour installer le ransomware Ryuk. Dans ce cas, l'adversaire a utilisé PsExec pour se déplacer latéralement et exécuter des commandes externes. Ils ont finalement obtenu les informations d'identification de l'administrateur de domaine (DA) et les ont utilisés pour crypter environ 1000 points de terminaison et effacer les index de sauvegarde.

«Les ransomwares continuent de représenter la plus grande menace pour les entreprises», déclare Garnett. "Le phishing reste le vecteur d'infection le plus largement observé pour ces attaques, soulignant l'importance de la sécurité des e-mails et de la formation au phishing."

En outre, les entreprises doivent activer l'authentification multifacteur dans la mesure du possible, désactiver les anciens protocoles et limiter l'utilisation d'outils Windows puissants dans les comptes de confiance.

Les ransomwares étaient la menace dominante. Mais l'équipe CTIR a également répondu à plusieurs incidents impliquant des logiciels malveillants distribués via des mises à jour empoisonnées de la technologie de gestion de réseau SolarWinds & # 39; Orion. Environ 18 000 organisations dans le monde – dont plusieurs clients Cisco Talos – ont été touchées par cette violation. Cependant, un seul des incidents sur lesquels Cisco Talos a enquêté impliquait une activité par compromis. Dans cet incident, les attaquants avaient mis en place un script PowerShell qui semblait avoir été conçu pour recevoir plus de code susceptible d'effectuer une activité malveillante.

En regardant le trimestre en cours, Garnett s'attend à ce que Cisco Talos doive répondre à davantage d'événements liés à SolarWinds, car la portée et l'effet complets de cet événement sont susceptibles d'être plus importants que ce qui est connu à ce jour. Il s'attend également à ce que l'équipe CTIR réponde à plusieurs incidents impliquant le groupe présumé Hafnium basé en Chine et ses récentes attaques visant quatre vulnérabilités critiques zero-day dans Microsoft Exchange Server.

«Pour Hafnium, nous soutenons activement les clients du monde entier dans divers secteurs et continuons de constater une augmentation des demandes de services IR de la part des clients. [impacted by the attacks]," il dit.

Jai Vijayan est un journaliste expérimenté en technologie avec plus de 20 ans d'expérience dans le journalisme spécialisé en informatique. Il était plus récemment rédacteur en chef chez Computerworld, où il a couvert les questions de sécurité de l'information et de confidentialité pour la publication. Au cours de ses 20 ans … Voir la bio complète

Lecture recommandée:

Plus d'informations

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.