Nous suivre Industrie Techno

Les ransomwares complexes, nouveau standard des cyberattaques contre les infrastructures critiques

Les ransomwares complexes, nouveau standard des cyberattaques contre les infrastructures critiques

© Cybereason

Un leurre mis en place par la société de cybersécurité Cybereason, simulant les équipements constituant le système d'information d'un site appartenant à une compagnie d’électricité, a permis d’identifier une nouvelle tendance dans les cyberattaques sur les infrastructures critiques : les attaques au ransomware se complexifient.

Les ransomwares visant l’industrie se complexifient. C’est le constat alarmant qui émerge d’une étude rendue publique le 11 juin par Cybereason, spécialiste américain de la détection et la réponse aux cyberattaques ciblant les terminaux.

Depuis plusieurs mois, les équipes de chercheurs de Cybereason ont mis en place un pot de miel (honeypot), une simulation de l’ensemble d’un système d’information bureautique (IT) et industriel (OT) d’un poste électrique appartenant à une compagnie d’électricité opérant en Amérique du Nord et au Royaume-Uni. Le but de ce leurre, qui s’appuie « pour partie sur des machines virtuelles mais aussi sur quelques vrais équipements, le tout à la fois interconnecté et connecté à internet », précise Israël Barak, responsable de la sécurité chez Cybereason, est d’attirer de potentiels cyber-attaquants afin d’analyser leurs stratégies et, partant, les tendances actuelles dans le domaine.

L’attaque la plus classique en 4 étapes

Grâce à cette expérience, que la firme réitère environ tous les deux ans, les chercheurs de Cybereason ont observé une complexification des attaques par rapport à 2018. Le processus d’attaque par ransomware le plus classique se déploie en quatre étapes, comme suit :

  • Phase 1 : La compromission initiale de l’interface d’administration du protocole de résolution des problèmes (RDP), qui fait suite à l’obtention du mot de passe du compte utilisateur via une attaque par force brute, puis le téléchargement et l’exécution d’un script Windows PowerShell, pour créer une porte dérobée (backdoor).

  • Phase 2 : Le téléchargement de nouveaux outils via le serveur compromis à l’aide du PowerShell, tels que Mimikatz, un outil en libre-service très utilisé par les hackers pour voler les informations d'identification des utilisateurs. Des informations ensuite utilisées pour tenter de se déplacer latéralement vers les contrôleurs de domaine, l’épine dorsale de l’opération. « La tentative de mouvement latéral a échoué dans l’environnement du honeypot car aucun des comptes utilisateurs volés n’a été autorisé à accéder au contrôleur de domaine », indique Cybereason.

  • Phase 3 : Déplacement latéraux du malware dans le réseau en utilisant un scanner de réseau pour découvrir d'autres terminaux.  

  • Phase 4 : Déclenchement du ransomware après la fin des opérations préliminaires, pour assurer la compromission d’un maximum de terminaux et maximiser l’impact de l’attaque.

« Même les groupes de hackers modestes ont recours à des attaques de plus en plus sophistiquées »

« Aujourd’hui, les cyber-assaillants ont tendance à prendre leur temps pour passer d’une étape à l’autre, dans le but de rester le plus discrets possible mais aussi pour se garder le temps de voler l’ensemble des données dans tous les recoins du réseau ciblé, indique Israël Barak. C’est pourquoi vous avez besoin de laisser le honeypot fonctionner pendant au moins quelques mois, voire une année entière. »

Combinées, la complexification des techniques d’intrusion et la discrétion des cyber-attaquants rendent les attaques particulièrement difficiles à détecter. D’autant plus que ce mode opératoire n’est pas seulement le fait de groupes malveillants sophistiqués, liés à un Etat-nation - que l’on appelle APT pour « Advanced Persistant Threat » (menace persistante avancée). « Malgré la complexité des attaques que nous avons identifiées, les outils utilisés étaient relativement facile d’accès. Rien qui n’a été utilisé n’avait été développé spécifiquement pour s’introduire dans le réseau de la cible. On peut donc penser que les attaquants n’étaient pas des groupes APT mais que, simplement, même les groupes de hackers les plus modestes ont recours à des attaques de plus en plus sophistiquées. »

Intégrer la convergence IT-OT dans les stratégies de cyberdéfense

Pour ce spécialiste de la sécurité, cette étude montre que les industriels doivent complètement s’enlever de la tête l’idée qu’ils pourront empêcher les intrusions sur leur réseau. « Nous devons partir du principe que l’on peut être attaqué et agir en conséquence », insiste-t-il. Avec, pour lui, trois priorités : segmenter le réseau, multiplier les points d’authentification et, surtout, se préparer à répondre rapidement dès qu’une attaque est identifiée, notamment en multipliant la redondance (sauvegardes système, sauvegardes des données…).

« Il faut aussi s’assurer que le centre de réponses cyber (Security operation centre, ou SOC) soit capable de détecter des anomalies et de réagir à la fois pour le réseau IT et pour l’OT. La convergence IT-OT est une tendance pour l’administration des systèmes et les attaquants l’ont bien compris. »

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Dépistage, vaccin, meltblown… les articles les plus lus de la semaine

Dépistage, vaccin, meltblown… les articles les plus lus de la semaine

En cette journée de nouvelles mesures gouvernementales pour essayer de lutter contre la résurgence du virus, vous avez été[…]

11/09/2020 | SantéCybersécurité
Cybersécurité : Les trois conseils techniques de l’Anssi pour se défendre contre un ransomware

Cybersécurité : Les trois conseils techniques de l’Anssi pour se défendre contre un ransomware

Pour bien commencer la semaine, le point sur l’immunité face au Covid-19

Pour bien commencer la semaine, le point sur l’immunité face au Covid-19

Cybersécurité : un outil capable de détecter les vulnérabilités au cœur du code des robots industriels

Cybersécurité : un outil capable de détecter les vulnérabilités au cœur du code des robots industriels

Plus d'articles