Blog > Reponse aux incidents

Anatomie d'un ransomware

La prudence est de mise. Comprendre comment les pirates préparent et déploient une attaque par ransomware peut nous donner des renseignements précieux. Dans cet article, nous allons détailler étape par étape ce que font les pirates pour mettre en place une attaque par ransomware et, plus important encore, ce que vous pouvez faire afin de réduire vos risques.

C’est un fait, les pirates essaient par tous les moyens possibles d'entrer dans vos réseaux afin d'infecter vos ordinateurs et demander une rançon. Pour ce faire, ils ont l'habitude de s'appuyer sur un allié de poids : les programmes informatiques automatisés (ou robots informatiques / bots) qui balaient les internets 24/7 à la recherche de cibles potentielles. De plus en plus intelligents, ces robots sont même capables d'élaborer et exécuter une attaque de bout en bout, jusqu'à la prise de contrôle de votre réseau. Et une fois que le robot contrôle votre réseau, le pirate entre en action et finalise le travail.

Dans le présent article, nous vous présentons la reconstitution d’un cas réel de ransomware auquel nous avons été amenés à répondre étant qu’experts. La majorité des détails restent anonymes, mais dans ce cas réel, les pirates ont pu prendre le contrôle de 17 serveurs avant de demander une rançon.

Étape 1 : la recherche de cibles potentielles

Les organisations victimes de ransomware pensent souvent qu’ils ont été infectés à cause d’un concurrent ou d’un ancien employé mécontent qui leur veut du mal. Mais en réalité, les attaques ciblées sont très rares. La plupart du temps, les pirates balayent les internets de manière aléatoire à la recherche d’une faille potentiellement exploitable. C’est ce qui est arrivé dans le cas présent. La victime a été détectée lors d’un scan massif d’internet alors qu’elle utilisait une solution de type RDP (Remote Desktop / accès bureau à distance) pour permettre à ses employés d’accéder au réseau à distance. Une fois que le bot a découvert la passerelle RDP, il est passé à la deuxième phase de l'attaque : la connexion au réseau.

CTA Webinaire 1

Étape 2 : l’attaque brute force

Quand le service DRP a été identifié, le robot informatique a lancé une attaque automatique de type brute force (ou par dictionnaire) dont l’objectif est d’essayer plusieurs combinaisons de noms d’usagers et de mots de passe afin de trouver un compte valide qui permet d’accéder au réseau. La priorité a été mise sur la recherche de comptes administrateurs, car cela donne une plus large marge de manœuvre au pirate. Le bot va donc tester en priorité les comptes usagers par défaut susceptibles d’avoir des privilèges administrateurs : root, admin, administrateur, administrator, sa, etc.

Dépendant de la complexité des mots de passe utilisés dans un réseau, une attaque de type brute force peut aboutir en quelques secondes, minutes, voire plusieurs mois.

Dans le cas présent, l’attaque brute force a pris 11 jours avant d’aboutir, sans que l’entreprise s’en rende compte. Le bot a fini par trouver le mot de passe valide d’un compte administrateur et s’est connecté au réseau.

Étape 3 : la recherche de cibles intéressantes

Dès que la connexion au réseau par le botnet a été confirmée, le pirate a pris la suite des choses en main. Il s’est connecté au réseau et a installé un outil de balayage de vulnérabilités. Ceci lui a permis d’identifier des services importants dans le réseau tel que le contrôleur de domaine Active Directory (AD), des serveurs de partage de fichiers et des bases de données SQL.

Malheureusement pour l’entreprise victime, le compte administrateur trouvé par le pirate est utilisé sur plusieurs serveurs. Le pirate a passé 23 jours dans le réseau pour trouver ses cibles. Il n'a exécuté le ransomware que lorsqu’il a eu l’assurance que les machines infectées sont assez importantes pour pousser l’organisation à accepter de payer une rançon.

Une fois que le pirate a identifié l’ensemble des machines qu’il veut infecter, il passe à la dernière étape de l’attaque qui consiste à infecter les machines et chiffrer les données.

Étape 4 : le chiffrement des données et la demande de rançon

Sa décision étant prise, le pirate s’est connecté à chaque machine, a arrêté l’antivirus avant d’exécuter son ransomware manuellement. L’opération a eu lieu dans la nuit, car cela permet au pirate de s'assurer que son activité malicieuse ne sera pas découverte avant qu’il ait infecté toutes les machines ciblées.

Au total, 17 serveurs ont été infectés par le ransomware. Dans chaque répertoire dont le contenu a été chiffré, le pirate a laissé un fichier contenant les instructions pour le paiement de la rançon. Des contacts initiaux pris par la victime avec le pirate ont indiqué que ce dernier exigeait une rançon de 150 000$ US.

Nos investigations ont montré que le ransomware n’avait pas la capacité de se propager tout seul.

4 recommandations pour renforcer votre cyberdéfense contre les ransomwares

Ceci est un cas d’attaque classique par ransomware ou le pirate s’allie à un robot pour accélérer le piratage d’une organisation. L’attaque a exploité des insuffisances dans la solution d’accès à distance RDP de l’organisation. Il faut noter que RDP demeure d’ailleurs l’une des portes que les pirates exploitent le plus souvent dans les cas de ransomwares.

Pour limiter ce type d’incident, nous vous recommandons de:

  • Renforcer le contrôle d’accès à son réseau; privilégier les solutions VPN plutôt que RDP
  • Utiliser une authentification multifacteurs MFA pour tous les accès à distance
  • Déployer un système de détection d’intrusions pour protéger votre réseau
  • Superviser constamment la sécurité de votre réseau afin d’identifier et traiter rapidement les activités malicieuses (ou douteuses) dans votre réseau. Plus vite vous réagissez, moins il y aura d’impact.

Besoin d'aide ? StreamScan est là.

Si vous êtes victime d’un ransomware ou que vous désirez mettre en œuvre une solution de Détection et Réponse Gérées (MDR) pour éviter l’irréparable, StreamScan dispose d'experts ayant des années d'expérience qui peuvent vous aider. Contactez-nous à l'adresse securitepme@streamscan.ai ou appelez-nous au 1 877 208-9040.