Voici pendant combien de temps les attaquants se dissimulent dans votre réseau avant de déployer un ransomware ou d’être repérés

Spread the love
  • Yum

Voici pendant combien de temps les attaquants se dissimulent dans votre réseau avant de déployer un ransomware ou d'être repérés

Selon la société de sécurité britannique Sophos, les cyberattaquants restent dans les réseaux d’entreprise en moyenne 11 jours après avoir pénétré dans un réseau cible, avant d’être détectés. Et souvent, lorsqu’ils sont repérés, c’est parce qu’ils ont déployé un ransomware.

Comme le notent les chercheurs de Sophos dans un nouveau rapport, c’est plus qu’assez de temps pour qu’un attaquant obtienne un aperçu complet de l’aspect d’un réseau cible, de ses faiblesses, et pour que les attaquants de ransomware le détruisent ou le paralysent.

Les données de Sophos, basées sur des réponses aux incidents des ses clients, suggèrent un “temps de séjour” beaucoup plus court pour les attaquants que les données de l’équipe de réponse aux incidents de FireEye, Mandiant, récemment publiées. Mandiant indiquait que le délai médian de détection était de 24 jours. Ce qui constituait déjà une amélioration par rapport aux années précédentes.

publicité

Le RDP, pierre de touche des attaquants

Sophos explique la durée relativement courte par le fait que 81 % des incidents pour lesquels il a aidé ses clients concernaient des ransomwares, une attaque bruyante qui déclenche immédiatement l’alarme dans les services techniques. Ainsi, si des délais plus courts peuvent indiquer une amélioration de la posture de sécurité, il se peut aussi que ce soit simplement parce que les ransomwares de chiffrement de fichiers sont une attaque plus perturbante que le vol de données.

« Pour replacer les choses dans leur contexte, 11 jours offrent potentiellement aux attaquants environ 264 heures pour des activités malveillantes, comme par exemple le mouvement latéral, la reconnaissance, le dumping d’informations d’identification, l’exfiltration de données, etc. Si l’on considère que certaines de ces activités ne prennent que quelques minutes ou quelques heures à mettre en œuvre, 11 jours offrent aux attaquants beaucoup de temps pour faire des dégâts », note Sophos dans son rapport Active Adversary Playbook 2021.

La grande majorité des incidents auxquels Sophos a répondu étaient des attaques par ransomware, ce qui suggère l’ampleur du problème. Parmi les autres attaques, il y a le vol de données, le minage de cryptomonnaies, les chevaux de Troie bancaires, les effaceurs de données et l’utilisation d’outils de test de pénétration comme Cobalt Strike.

Un autre point notable est l’utilisation répandue par les attaquants du protocole de bureau à distance (RDP – Remote Desktop Protocol) : environ 30 % des attaques commencent par le RDP et 69 % des activités ultérieures sont menées avec. Le phishing, en revanche, n’a été le point d’entrée que de 12 % des attaques.

La montée en puissance de DarkSide

Les attaques contre les terminaux RDP sont utilisées depuis longtemps pour lancer des attaques de ransomware et sont beaucoup plus courantes que les exploits contre les VPN. Plusieurs entreprises de sécurité ont classé le RDP comme le principal vecteur d’intrusion pour les incidents de ransomware en 2020. La société de sécurité ESET a indiqué que le travail à distance avait connu un pic de près de 800 % des attaques RDP en 2020.

« Le RDP a joué un rôle dans 90 % des attaques. Toutefois, la manière dont les attaquants ont utilisé le RDP mérite d’être soulignée. Dans les incidents impliquant le RDP, il n’a été utilisé pour un accès externe que dans 4 % des cas. Environ un quart (28 %) des attaques ont montré que les attaquants utilisaient le RDP à la fois pour l’accès externe et le mouvement interne, tandis que dans 41 % des cas, le RDP était utilisé uniquement pour le mouvement latéral interne au sein du réseau », notent les chercheurs de Sophos.

Sophos a également dressé une liste des groupes de ransomware les plus observés. DarkSide, un fournisseur de services de ransomware récent mais efficace, qui a commencé ses activités au milieu de l’année 2020, n’a représenté que 3 % des cas étudiés par Sophos jusqu’en 2020. Il est sous le feu des projecteurs en raison de l’attaque contre Colonial Pipeline, qui a versé 4,4 millions de dollars au groupe.

DarkSide propose ses ransomwares as-a-Service à d’autres groupes criminels qui les utilisent. C’est le cas de REvil. REvil est sous les feux de la rampe en raison de ses attaques contre par exemple le laboratoire pharmaceutique français Pierre Fabre. Selon Sophos, REvil (alias Sodinokibi) a été le groupe de cybercriminel le plus actif en 2020 avec Ryuk. Selon certaines estimations, il a a gagné 150 millions de dollars grâce au ransomware en 2020. Parmi les autres ransomwares importants, citons Dharma, Maze (plus en service), Ragnarok et Netwalker (plus en service).

La semaine dernière, le président américain Joe Biden a déclaré avoir discuté de l’attaque par ransomware de Colonial Pipeline avec Moscou et a suggéré que la Russie prenne des « mesures décisives » contre ces attaquants. Les Etats-Unis pensent que DarkSide est basé en Russie mais pas lié au gouvernement russe. « Nous avons été en communication directe avec Moscou au sujet de l’impératif pour les pays responsables de prendre des mesures décisives contre ces réseaux de ransomware », affirmait le président Biden le 13 mai.

Source : ZDNet.com

Leave a Reply

%d bloggers like this: