Détection de Rançongiciels avec les Technologies Existantes
Table des matières :
Il semble que nous soyons au bord d’une autre crise causée par les attaques de ransomware et la prolifération du Ransomware as a Service modèle qui permet même aux débutants relatifs de se lancer dans le grand jeu. Chaque semaine, les médias sont pleins de gros titres indiquant qu’une entreprise ou une organisation gouvernementale bien connue est devenue une autre victime d’une attaque, les systèmes ont été verrouillés et des données sensibles ont été volées. Ces organisations avaient probablement tout ce dont elles avaient besoin pour détecter les ransomwares à temps, mais d’une manière ou d’une autre, les attaquants ont surpassé l’équipe de sécurité.
La crise que nous avons mentionnée plus tôt n’est même pas liée au nombre d’attaques, qui augmente régulièrement en raison de l’augmentation du nombre d’affiliés RaaS, mais au vol de données avant le cryptage des fichiers. Selon le rapport publié par Coveware en novembre 2020, au troisième trimestre, les cybercriminels ont réussi à exfiltrer des données dans environ la moitié de leurs attaques. Et c’est deux fois plus qu’au trimestre précédent. Une autre donnée intéressante du rapport est le paiement moyen de rançon, qui a déjà dépassé 230 000 $.
Â
Attaques par ransomware et exfiltration de données
Â
Les attaques par ransomware sont devenues un problème au milieu des années 2000 lorsque les cybercriminels sont passés des simples verrouilleurs d’écran, qui étaient facilement contournés par les utilisateurs avancés mais rapportaient tout de même un bon profit, au chiffrement de fichiers, ce qui sans clé de déchiffrement garantit presque une perte de données. Au début des années 2010, le premier ver ransomware est apparu, et après quelques années, les cybercriminels ont commencé des campagnes de spam massives ciblant principalement les utilisateurs non d’entreprise, mais les capacités de détection des ransomwares des entreprises étaient généralement suffisantes pour ne pas ressentir la menace. En 2016, le premier Ransomware as a Service est apparu, qui était encore destiné aux attaques sur des individus. En mai 2017, la épidémie WannaCry a montré au monde que les organisations peuvent être une excellente cible et que se remettre d’une attaque par ransomware est très coûteux. NotPetya n’a fait que confirmer cela, et bientôt les grands acteurs se sont complètement tournés vers des attaques sur les organisations afin d’atteindre les serveurs de sauvegarde et de chiffrer autant de systèmes clés que possible sans possibilité de récupération. À la fin de 2019, les affiliés de Maze RaaS ont commencé à voler des données après avoir infiltré le réseau de l’organisation, données qu’ils ont ensuite publiées sur une ressource spécialement créée pour faire pression sur les victimes et les forcer à payer une rançon vraiment énorme. Cela est rapidement devenu populaire, et comme nous pouvons le voir dans le rapport, les cybercriminels volent maintenant des données dans une attaque sur deux.
Â
Les Brebis Noires du Côté Obscur
Â
Jusqu’à récemment, les cybercriminels ont joué relativement fair-play, et en cas de rançon, ils ont fourni une sorte de preuve que les données avaient été supprimées. Mais il n’y a pas d’honneur parmi les voleurs, et il y a de plus en plus de cas où les adversaires ne suppriment pas les données après avoir reçu un paiement de rançon. Dans au moins quelques occasions, les affiliés de ransomware Sodinokibi ont demandé à plusieurs reprises de l’argent pour supprimer des fichiers après la restauration des systèmes chiffrés. Mais ce n’est pas le seul RaaS avec des affiliés « corrompus ». Les attaquants derrière Netwalker et Mespinoza ont également été vus ne pas supprimer des fichiers, car des informations confidentielles ont été publiées sur leurs « sites » en raison de certaines « pannes techniques » après avoir reçu une rançon. Le groupe derrière le ransomware Conti a essayé de tromper les victimes en leur envoyant des preuves fabriquées de suppression de données.
Nous devrions également mentionner le pionnier du vol de fichiers, Maze RaaS et ses affiliés. Selon le rapport, il y a eu des cas où les affiliés ont rendu les données publiques avant d’informer la victime de leur enlèvement. Les opérateurs de Maze sont connus pour éliminer les affiliés qui violent leurs règles, et certains d’entre eux, comme dans la situation avec Sodinokibi, essaient de récupérer la rançon des entreprises attaquées ou tentent de vendre des données sur le DarkNet. La situation est aggravée par le fait qu’un grand nombre de solutions de sécurité offrent une détection de ransomware, et les attaquants ne peuvent pas chiffrer un nombre suffisant de systèmes. Mais ils ont toutes les données volées de telles attaques semi-échouées, et ils tentent d’obtenir au moins un certain profit de quelque manière que ce soit.
Â
Détection des attaques par ransomware et pourquoi est-ce si important
Â
Bien sûr, la détection des attaques par ransomware est cruciale pour une cyberdéfense continue, et vous pouvez l’implémenter en utilisant les outils que votre organisation possède déjà . Malgré le fait qu’un binaire ransomware unique soit compilé pour chaque attaque sur une organisation, certaines solutions antivirus seront capables de le reconnaître et de le neutraliser. Il existe de nombreuses règles différentes pour les solutions SIEM et NTDR qui peuvent identifier les anomalies indiquant une attaque par ransomware. Mais il est tout aussi important de détecter une menace le plus tôt possible car le chiffrement des fichiers est déjà l’étape finale d’une attaque lorsque les données sensibles sont déjà entre les mains des cybercriminels. Pour pénétrer le réseau de l’organisation, les gangs de ransomwares peuvent forcer brutalement les connexions RDP, acheter des identifiants compromis sur les marchés du DarkNet, utiliser le bon vieux phishing, ou exploiter des vulnérabilités connues. Après la pénétration, les attaquants cherchent à accéder à Active Directory (d’où il est plus facile d’infecter de manière centralisée tous les postes de travail) et à sauvegarder les serveurs pour supprimer toutes les sauvegardes tout en collectant toutes les données sensibles qu’ils peuvent trouver en cours de route. Jusqu’à présent, le groupe tristement célèbre pour utiliser le ransomware Ryuk est considéré comme le champion. Ils ont réussi à chiffrer des systèmes en cinq heures après être entrés dans le réseau.
Â
Facilitez la détection de vos ransomwares
Â
Malheureusement, il n’existe pas de solution qui offre une protection à 100 % contre ces cyberattaques, mais il est possible d’augmenter considérablement les capacités de détection de ransomware des plateformes de sécurité existant dans votre organisation. Chaque mois, les développeurs du Threat Bounty Program et l’équipe SOC Prime Content publient sur le Threat Detection Marketplace des dizaines d’articles de contenu SOC qui aident à détecter les techniques, les outils et l’activité suspecte, ce qui peut indiquer une phase active d’une attaque par ransomware. Après tout, il est important non seulement de détecter les binaires de ransomware et leur comportement, mais aussi une variété d’outils et d’exploits utilisés par les cybercriminels pendant la reconnaissance et le mouvement latéral. Ces règles ont des traductions pour plusieurs plateformes, y compris les solutions SIEM et NTDR les plus populaires. À ce jour, le Threat Detection Marketplace prend en charge plus de 20 plateformes, y compris Azure Sentinel, Chronicle Security, Humio, Corelight, Sumo Logic, le Elastic Stack, Carbon Black, CrowdStrike, Logpoint, RSA NetWitness, ArcSight, Splunk, QRadar, Apache Kafka ksqlDB, Microsoft Defender ATP, et Sysmon. Nous ajoutons continuellement de nouvelles plateformes supportées et des intégrations, donc si vous ne trouvez pas la plateforme que vous utilisez dans cette liste, contactez support@socprime.com pour prioriser le développement de cette intégration.
Vous pouvez vérifier le contenu disponible via ce lien, ou trouver des règles pour des outils et des souches de ransomware spécifiques sur la page de contenu sur Threat Detection Marketplace.
Nous avons récemment publié le module Continuous Content Management (CCM) qui prend en charge Azure Sentinel et le Elastic Stack pour diffuser du contenu SOC directement dans votre instance SIEM et vous aider à automatiser vos capacités de détection de ransomware. Ici vous pouvez regarder l’enregistrement de la présentation en direct des avantages du module CCM. Le support pour d’autres plateformes arrive bientôt. Avec le module CCM, vous pouvez non seulement automatiser la recherche et l’installation du contenu SOC requis, mais aussi mettre à jour en temps opportun les règles que vous avez déjà déployées, et ajouter ces mises à jour à votre instance SIEM à la volée.
Pour profiter du module CCM, vous pouvez l’acheter comme une licence séparée ou dans le cadre du niveau d’abonnement Universe sans frais supplémentaires. Pourtant, vous avez une autre option pour l’essayer gratuitement en demandant un essai gratuit de 14 jours. Inscrivez-vous à Threat Detection Marketplace pour renforcer vos capacités de détection et de réponse aux menaces.
Â
