l’année 2023 a été particulièrement lucrative pour les auteurs de ransomwares. Le rapport Verizon révèle que le montant moyen des pertes s’élève à 46 000 dollars par compromission.
Or, maintenir ce flux de trésorerie exige de changer régulièrement de techniques, ce qui explique probablement pourquoi les attaquants sont de plus en plus nombreux à exploiter des logiciels légitimes pour propager leurs malwares.
L'infiltration cybercriminelle : exploitation des outils légitimes pour des attaques renforcées
En utilisant des outils déjà en place dans les entreprises, les cybercriminels peuvent se fondre dans la masse pendant qu’ils effectuent des opérations de reconnaissance. Ces outils les aident également pour l’élévation des privilèges et la persistance. Par ailleurs, l’association de cette technique à un ransomware sous forme de service (RaaS) réduit la sécurité à l’entrée, car les cybercriminels n’ont plus besoin de créer les malwares – tâche qui nécessite des compétences, des ressources et du temps. Autrement dit, les adversaires peuvent être plus nombreux à opérer et donc multiplier les dommages.Toutefois, les logiciels d’entreprise ne sont pas la seule cible. Les auteurs de ransomwares sont également connus pour profiter des vulnérabilités détectées dans les logiciels open source (OSS), injecter leurs propres charges utiles dans ces logiciels et les utiliser à la place de malwares créés sur mesure.
Lorsque les cybercriminels exploitent des outils légitimes, les solutions traditionnelles de sécurité des terminaux ont généralement très peu de chances de les détecter, à moins qu’elles n’intègrent des fonctionnalités d’analyse comportementale permettant de signaler les connexions inhabituelles, les élévations de privilèges, les exécutions de programmes ou d’autres activités à risque.
Une utilisation malveillante tout au long de la chaîne d’attaque
Les auteurs de ransomwares utilisent de plus en plus de logiciels légitimes et ce, à différentes étapes du cycle d’attaque. Pour ce faire, ils s’appuient sur une multitude de tactiques, techniques et procédures (TTP) afin de mener à bien leurs missions malveillantes, notamment au cours des opérations ci-dessous.Tout d’abord, pour obtenir un accès initial, certains attaquants se servent de vulnérabilités et expositions communes (CVE) contre leurs cibles. D’autres volent, falsifient, modifient ou manipulent les cookies des sessions web des utilisateurs pour s’infiltrer. Et d’autres encore envoient des e-mails de phishing aux utilisateurs et les incitent à télécharger des applications légitimes. Ce type d’attaque peut également être effectué par une personne interne à l’organisation, pas forcément par un cybercriminel externe. En effet, un administrateur peut lui-même propager un logiciel malveillant avec l’ensemble des collaborateurs, et en profiter pour impacter le réseau dans son ensemble.
Les cybercriminels utilisent également des logiciels légitimes pour installer des portes dérobées à des fins de persistance et/ou de commande et contrôle (CnC). Ils s’en servent notamment pour contourner des processus d’authentification multifacteurs (MFA) et/ou modifier ou désactiver des outils de sécurité existants et ainsi éviter toute détection. Ces actions peuvent aller de la désactivation des processus protégés par des solutions de détection et de réponse sur les terminaux (EDR) à la modification/suppression de clés de registre ou de fichiers de configuration.
De nombreux logiciels s’exécutent par défaut sur les machines. Or, en détournant ces programmes, les attaquants garantissent aussi l’exécution de leurs produits malveillants. Ils peuvent également exploiter diverses fonctionnalités d’applications telles que les planificateurs de tâches (conçus pour lancer des programmes ou des scripts à des heures prédéfinies ou après des intervalles de temps précis) pour maintenir la persistance. Même des outils légitimes intégrés au système d’exploitation, comme les binaires « living off the land » (LOLbins), peuvent être détournés pour brouiller les traces des attaquants, leur permettre de gagner en persistance ou d’élever leurs privilèges.
Elévations de privilèges et déplacements latéraux
De plus, les systèmes d’exploitation Windows sont protégés par le contrôle de compte d’utilisateur (UAC), une fonctionnalité de sécurité intégrée en natif dont la mission consiste à protéger ces systèmes contre les malwares et les modifications non autorisées. Si des utilisateurs réguliers tentent d’exécuter un programme en tant qu’administrateur, l’UAC les invite à saisir les identifiants d’un administrateur avant de pouvoir apporter des modifications.Bien que la plupart des ransomwares actuellement sur le marché ne nécessitent pas de droits d’administrateur pour chiffrer les données, les cybercriminels ciblent et contournent souvent l’UAC pour élever leur niveau d’accès et établir une persistance.
D’autre part, de nombreux outils peuvent, sans le vouloir, faciliter les élévations de privilèges malveillantes et les déplacements latéraux. AdFind, un outil de requête en ligne de commande gratuit utilisé pour effectuer des recherches dans Active Directory (AD), est très populaire à cet effet. Un autre exemple est AdvancedRun, qui permet d’exécuter un logiciel avec différents paramètres, mais également d’élever les privilèges de l’accès compromis, en modifiant les paramètres avant d’exécuter celui-ci.
En outre, de nombreuses fonctionnalités Windows conçues pour la gestion des machines font également office de serveurs d’appel de procédure à distance (RPC). Autrement dit, ils peuvent recevoir des commandes à distance d’autres machines du réseau pour exécuter des programmes. Or, beaucoup de RPC présentent des fonctions aux utilisateurs tout en permettant des communications entre des programmes client et serveur. Ils ouvrent ainsi la porte aux cybercriminels qui peuvent s’en servir pour effectuer des
déplacements latéraux.
Le chiffrement, à la fois un outil et une arme.
Les outils de chiffrement sont essentiels pour rendre les données invisibles aux utilisateurs non autorisés. Mais ces mêmes outils peuvent aussi être utilisés comme des ransomwares. Les cybercriminels peuvent également compromettre les utilisateurs qui bénéficient d’un accès légitime à des données chiffrées pour entièrement contourner les contrôles de chiffrement.Les acteurs malveillants qui emploient des techniques de double extorsion créent rarement leurs propres outils pour faire main basse sur les données utilisées pour leurs sites malveillants. Au contraire, ils s’appuient généralement sur des outils de sauvegarde légitimes, ou des programmes similaires, pour exfiltrer les données de leurs victimes. Les cybercriminels utilisent également des outils tels que 7-zip, un archiveur de fichiers open source, pour compresser les données et éviter ainsi d’être détectés avant de pouvoir procéder à des exfiltrations.
Ils modifient également leurs outils pour attaquer d’autres plateformes et systèmes d’exploitation. Par exemple, certains utilisent Rust, un langage de programmation multi-plateforme, pour cibler les systèmes Linux. Les systèmes macOS ne sont pas non plus à l’abri. Une méthode d’infection très répandue des appareils macOS et iOS consiste notamment à exploiter Find My iPhone, une fonctionnalité Apple qui permet aux utilisateurs de verrouiller leurs appareils en cas de perte.
Un cybercriminel qui parvient à voler ou à acheter l’identifiant Apple et le mot de passe d’un utilisateur, et à se connecter à l’appareil de ce dernier, peut ainsi verrouiller l’équipement à distance via l’application Find My iPhone, prendre les données en otage et afficher une demande de rançon à l’écran.
Bloquer les ransomwares tout au long du cycle d’attaque
Le fait que les cybercriminels se tournent désormais vers les logiciels légitimes a de quoi inquiéter compte tenu de la nature hautement furtive de ces attaques. Toutefois, les entreprises qui adoptent une approche de défense en profondeur (defense in depth) centrée sur les identités pour se protéger contre les ransomwares peuvent largementtenir le cap.
Les contrôles élémentaires de sécurité des terminaux (détection et réponse sur les terminaux (EDR), antivirus (AV)/ antivirus de nouvelle génération (NGAV), sécurité des
e-mails par désarmement et reconstruction de contenu (CDR), application de correctifs, etc.) restent les mêmes. Mais le plus important est le contrôle des applications. Qu’il s’agisse d’un RaaS, d’un malware polymorphe ou d’une autre variété de logiciel malveillant, s’il ne peut pas s’exécuter, il ne déploiera pas de ransomware.
Cette tendance souligne le rôle majeur – mais pas unique – que jouent les terminaux dans les attaques par ransomware, une position qui se clarifie d’autant plus à mesure que ce type d’attaques se multiplie. Lorsque les cybercriminels détournent des outils légitimes pour s’implanter dans un environnement, les fonctionnalités de moindre privilège et d’analyse comportementale se révèlent encore plus critiques pour détecter et bloquer rapidement les menaces cachées qui tentent de se déplacer à travers le réseau, de contourner ou de désactiver des systèmes de sécurité, et d’atteindre des cibles
de grande valeur.
Les attaques par ransomware sont de plus en plus coûteuses et exploitent désormais des logiciels légitimes contournant les mesures de sécurité traditionnelles. Cette méthode permet aux cybercriminels de mener des attaques sophistiquées, à tout moment et tout en se fondant dans le paysage informatique des entreprises.
Pour contrer ces menaces, il est crucial pour les entreprises d'adopter une approche de défense en profondeur. C’est pourquoi, l’ANSSI propose une liste de recommandations détaillées pour les entreprises qui souhaitent renforcer leur posture de cybersécurité afin de mieux se défendre contre les attaques par ransomware qui utilisent ce moyen d’opération.
Par Jean-Christophe Vitu, VP Solutions Engineer chez CyberArk
