Le temps de lecture estimé pour le texte fourni est d'environ 7 à 8 minutes
Les ransomwares sont un problème persistant depuis des années, à tel point que la plupart des membres du personnel de sécurité sont fatigués. Fatigué de les combattre, fatigué avec les nouvelles menaces constantes et les nouveaux types de cibles. Mais cela ne signifie pas que nous pouvons cesser de nous soucier, peu importe combien nous pourrions vouloir. Toute la situation semble très sombre, et à juste titre: les chiffres sont sombres et ne représentent que les victimes exposées. Nous ne pouvons pas savoir combien d'autres organisations ont été attaquées. Donc, même si tout semble sombre, il pourrait juste être beaucoup plus sombre. Le nombre noir est typique pour tous les crimes et n'est pas seulement pour les ransomwares. La réalité, c'est que nous n'en savons pas autant que nous le pensons. En fait, nous ne voyons que ce qu'ils veulent que nous voyions. Et que se passe-t-il s'ils mentent? Il y a des faits que nous savons, des choses que nous pensons savoir, et des choses que nous ne pouvons pas savoir. Ce n'est pas quelque chose que les équipes défensives aiment à admettre, mais c'est la dure réalité.
Le paysage ne cesse de changer, mais plus il change, plus certains restent les mêmes : de nouveaux groupes émergent, les anciens disparaissent ou se transforment en nouveaux groupes. À l'heure actuelle, Lockbit3 reste le champion en titre en termes de coups sûrs et pour une longue période de temps. De nouveaux groupes comme Money Message, Trigona et Rorschach émergent. Vont-ils dominer Lockbit un jour? Qui doit savoir? Bien que cela semble peu probable compte tenu des modèles d'affaires impitoyables mais justes de Lockbit qui ont si bien fonctionné pour eux pendant si longtemps. La vitesse de cryptage rapide de Rorschach de 4,5 minutes par rapport à la vitesse de 7 minutes de Lockbit3 pourrait faire transpirer un peu Lockbit3. Est-ce que ce serait suffisant pour les détrôner? Qui sait. Les techniques changent et évoluent. Dernièrement, les ransomwares sont de plus en plus souvent écrits dans Rust ou Nim, et les attaques traversent les plates-formes, et Mac et Linux ne sont plus les options les plus sûres. On a souvent l'impression qu'ils changent davantage lorsque nous commençons à maîtriser les ransomwares, ce qui nous oblige à recommencer depuis le début.
La bonne nouvelle est que même si le nombre de groupes continue d'augmenter, cela n'implique pas explicitement un tout nouveau modus operandi avec chaque groupe. Les groupes partagent des techniques d'attaque. Souvent, on n'en parle pas; bien que chaque groupe ait son propre modus operandi, ils partagent des similitudes dans les techniques. La roue n'est pas constamment réinvitée. Cela a été principalement vu avec la chute de Conti. Les groupes ont pris une partie du code divulgué et ont couru avec lui. La chute est que nous ne pouvons pas attribuer les attaques à des groupes à moins qu'ils ne s'attribuent le mérite de ce qui pourrait être leur travail. Il est impossible de connaître tous les TTPs complets des gangs de ransomware, en particulier dans les groupes RaaS. Leurs capacités de personnalisation signifient que les professionnels de la sécurité n'ont pas l'image complète. Les attaques peuvent différer d'une cible à l'autre. Parfois, nous avons plusieurs analyses de logiciels malveillants qui nous informent quelles stratégies ont été utilisées par chaque groupe. Cependant, ce n'est pas une science exacte ni une image parfaite. Nous pouvons savoir quelles techniques ont été utilisées au cours de cet instant d'attaque, mais nous ne pouvons pas généraliser ces résultats pour dire que le groupe se comporte toujours de la même manière. Combien de fois les victimes suppriment-elles leurs journaux dans la panique, ou combien de groupes jouent délibérément avec des journaux pour jouer avec les équipes défensives? Cela a un impact sur ce que nous pouvons apprendre de ces groupes.
En fin de compte, est-ce vraiment important de savoir qui a attaqué votre organisation? Oui et non. Oui, parce que la réputation dans le monde criminel reste essentielle. Comme nous l'avons mentionné dans notre article précédent, l'honneur parmi les voleurs, l'éthique et la réputation sont importantes. Savoir qui a attaqué votre organisation est bon pour savoir jusqu'où ils sont prêts à aller. Nous savons quels groupes publient régulièrement; d'autres sont spontanés et font des ventes privées. Cependant, bien qu'ils soient au sein de votre organisation, peu importe qui ils sont; quelqu'un attaque. À ce moment-là, si c'est X ou Y n'a pas d'importance. Sur la base de leur comportement interne, vous ne serez pas en mesure de prédire qui est là. Sur la base des journaux (s'il y en a), on pourrait éliminer les groupes de ransomware potentiels, mais il est impossible de le savoir avec certitude jusqu'à ce que cette note de rançon sorte, et même alors. La détection des groupes de ransomwares dans l'infrastructure reste difficile en raison de leurs techniques d'évasion de défense ou d'autres façons dont ils restent cachés jusqu'à la grande révélation. Alors, sur quoi les organisations peuvent-elles se concentrer? Les techniques couramment utilisées sont un point de départ.
Les groupes de ransomwares partagent certaines techniques; par conséquent, nous ne pouvons pas nous approprier un crime à une victime aussi simplement. Les groupes peuvent partager tellement de techniques similaires que nous ne pouvons pas les distinguer avec une garantie; nous ne pouvons être que certains en pourcentage qu'il pourrait s'agir d'eux ou, en raison du manque de présence d'autres stratégies, qu'il ne peut s'agir d'autres groupes. Pensez-y comme une recette de gâteau: plusieurs personnes peuvent avoir les mêmes ingrédients mais faire des gâteaux légèrement différents. Chacun a un ingrédient spécial que nous ne pouvons pas connaître. Alors comment sait-on avec certitude qui a fait quel gâteau, mais vous pouvez savoir quel gâteau le vôtre est? Cela s'applique également aux groupes de ransomwares. Nous voyons la surface, une certaine profondeur, mais très probablement pas la totalité.
Néanmoins, certaines techniques restent les favoris des fans pendant un certain temps. L'hameçonnage continue d'être une stratégie d'accès initial stable, car il est facile et efficace pour les groupes. Des groupes tels que Royal, Lockbit3 ont été vus en utilisant le phishing dans le cadre de TTP. Travaillez à sécuriser les e-mails, LinkedIn, Teams et les forums Slack. Continuer d'insister pour que les employés complexifient leurs mots de passe et installent des systèmes d'AMF. Si vous ne pouvez pas vous concentrer sur la défense une fois que les auteurs de menaces sont à l'intérieur, alors concentrez-vous sur le fait de vous assurer qu'ils ne peuvent pas mettre le pied dans la porte ou la fenêtre. Si vous préférez vous concentrer sur les contre-mesures défensives une fois que les auteurs de menaces sont à l'intérieur, il est toujours bon de connaître certaines techniques préférées des fans là aussi.
La plupart des groupes utilisent très probablement une variante des compétences de reconnaissance avant d'attaquer une cible. Bien sûr, il y a des exceptions à ce scénario de cas. Certains peuvent devenir aveugles; certains ne se soucient pas de la reconnaissance et vont tirer leur tir. Les auteurs de menaces opportunistes et les auteurs de menaces de niveau inférieur sont plus susceptibles d'entrer dans cette catégorie. Il existe de nombreuses façons de collecter des informations, mais certaines des informations recherchées sont les adresses IP, les fuites d'informations d'identification, les fuites d'informations d'identification, les fuites en général, les utilisations de logiciels, les ports ouverts et l'IoT connecté. Savoir ce qu'ils peuvent savoir sur votre organisation est une étape importante dans la prévention. Une autre méthode de reconnaissance, si une vulnérabilité est disponible et la capacité de l'exploiter, consiste alors à rechercher des cibles. Certains outils open source sont utilisés dans ces cas pour donner une liste de cibles, comme on le voit avec Cl0p et GoAnywhere. Des groupes tels que Black Basta, BlackCat/ ALPHV et Cuba ont été vus en utilisant des techniques de découverte internes.
Frapper le pare-feu pour le désactiver afin que les auteurs de menaces puissent entrer et sortir et envoyer des communications avec le centre de commande et de contrôle est une technique couramment utilisée. La surveillance autour des pare-feu pour toute anomalie est une tactique efficace. Les auteurs de menaces devront se déplacer dans l'infrastructure et élever les privilèges, alors recherchez toujours les anomalies dans les journaux. Connaissez les comportements normaux de vos utilisateurs pour pouvoir signaler ces comportements.
En se concentrant sur ce que nous savons des ransomwares, les TTPs ransomware peuvent déjà aider beaucoup plus que nous ne pouvons l'imaginer. Dans un monde idéal, nous aurions une image complète, mais comme ce n'est pas le cas, nous devons trouver des moyens de limiter les dommages et de rendre les attaques de ransomware aussi difficiles que possible pour les auteurs de menaces à commettre. Nous devrions continuer à nous concentrer sur les techniques plutôt que sur l'attribution de groupe. Concentrez-vous sur les facteurs que nous pouvons connaître et partez de là. Concentrez les contre-mesures sur les endroits les plus percutants et travaillez pour rendre les tâches des auteurs de menaces plus difficiles. En rendant l'attaque plus difficile et plus longue, il y a plus de chances que les auteurs de menaces fassent une erreur et soient détectés, ce qui donne aux défenseurs une chance rapide de défendre et de protéger leur infrastructure.
La découverte interne est très importante pour les auteurs de menaces; ils savent peut-être ce qu'ils veulent, mais exactement où cela se cache. Par exemple, ils savent que des fichiers comme revenue2022.xlsx doivent exister, mais où dans l'infrastructure? Ils devront surveil et faire un mouvement. Bien sûr, certains endroits sont plus probables que d'autres, mais jusqu'à ce qu'ils fassent la découverte interne, ils ne savent pas avec certitude. Le but du ransomware est de vous extorquer en fonction de la peur et de la douleur. Si les organisations n'avaient rien à cacher, les ransomwares ne seraient pas l'affaire d'aujourd'hui. Ainsi, les groupes de ransomwares cherchent ce qui nuira à l'entreprise. Les organisations doivent savoir quelles données leur feraient du mal et protéger ces secrets. Les données des employés doivent être dans cette catégorie de secrets gardés. Les menaces internes demeurent un sacré problème. Pour en revenir au point initial, il leur est plus difficile de trouver les fichiers qu'ils recherchent, ce qui leur permet de gagner du temps pour que les équipes défensives atténuent l'attaque.
Au lieu de nous concentrer sur les techniques, tactiques et procédures uniques des groupes de ransomwares, nous devrions examiner les comportements courants. Cela permet aux équipes de défense de se concentrer sur les contre-mesures de défense et d'augmenter leurs chances de travailler. Nous vous recommandons d'inventorier les actifs les plus précieux et ce qui doit être protégé à tout prix. Ayez des plans pour les défendre sur la base du TTP couramment utilisé et donnez à votre équipe défensive une chance de riposter. Les ransomwares continuent de changer, mais certaines choses ne changent pas, et utilisons-les à l'avantage des défenseurs.
