Bloqué et détenu contre rançon : la bataille d'une ville contre la cybercriminalité

Dans ce cas, la ville a eu de la chance dans son malheur. L'équipe de sécurité a détecté l'attaque juste après son lancement, ce qui lui a permis d'isoler le segment de réseau affecté pour limiter les dommages. 

Bien que le service dans lequel l'attaque a commencé ait dû revenir (selon ses propres termes) à un travail « à l'ancienne », sans technologie, les autres services ont pu s'en sortir en grande partie indemnes. Cependant, la récupération a pris des semaines, avec des temps d'arrêt qui ont rendu indisponibles les services essentiels que le service fournit à la communauté.

Comment l'attaquant a-t-il pu accéder au réseau urbain ? L'analyse des événements a montré que l'attaquant a pu utiliser un compte fournisseur compromis (vous vous souvenez du fournisseur de chauffage, ventilation et climatisation ?) pour employer le VPN de la ville afin d'accéder à un point de terminaison du système de chauffage, ventilation et climatisation. Une fois connectés, les cybercriminels ont pu collecter des informations d'identification privilégiées pour obtenir des autorisations élevées et utiliser l'ordinateur victime pour se déplacer latéralement sur le réseau. 

Malheureusement, il s'agit d'une situation courante. Les violations de données et les attaques par ransomware commencent souvent par des informations d'identification d'accès de fournisseurs compromis. Le piratage d'un fournisseur peut constituer une proposition lucrative pour les groupes de ransomware, car ils peuvent potentiellement accéder aux informations d'identification de plusieurs cibles en compromettant une seule organisation.

Bien que cette méthode d'accès semble être assez courante ces derniers temps, elle n'est pas la seule. Traditionnellement, les deux principaux vecteurs d'infection pour les menaces de ransomware sont les e-mails d'hameçonnage et les attaques de RDP.

L'hameçonnage est toujours très efficace, car la technologie a rendu les e-mails d'hameçonnage de plus en plus difficiles à repérer. Même les professionnels expérimentés peuvent se laisser tromper par certains de ces messages bien conçus et qui semblent authentiques. L'époque des escroqueries de prince nigérian mal formulées est révolue.

Même si cela reste incompréhensible, quelques entreprises n'ont toujours pas intégré que le fait de laisser des connexions de RDP ouvertes sur Internet était une très mauvaise idée. Les attaquants les repéreront très rapidement et utiliseront la force brute pour s'introduire dans le système, et il est sûr qu'ils enverront une demande de rançon une fois qu'ils seront entrés. 

Les acteurs malveillants peuvent également utiliser des méthodes éprouvées comme l'ingénierie sociale, le vol d'informations d'identification et l'abandon de clés USB compromises.

Les ransomwares ont considérablement évolué au cours de la dernière décennie, passant de simples logiciels malveillants de verrouillage de fichiers (plus connus sous le nom de cryptolockers) à des attaques sophistiquées conçues pour maximiser l'impact et les bénéfices. À l'époque, les auteurs d'attaque par ransomware chiffraient les fichiers d'une victime sur un seul système, exigeant un paiement en échange des clés de déchiffrement. 

Cette situation a évolué pour compromettre l'ensemble des réseaux, y compris les systèmes de sauvegarde et de récupération, afin de limiter la capacité de la victime à se rétablir.  Au fil du temps, les entreprises ont commencé à améliorer leur stratégie en matière de cybersécurité, y compris avec des sauvegardes plus robustes, ce qui a considérablement réduit l'impact des attaques basées sur le chiffrement.

Quelle solution restait-il aux pauvres délinquants ? Il restait trop d'argent sur la table pour qu'ils rangent leurs cartes et rentrent chez eux. Au lieu de cela, les cybercriminels se sont adaptés en intégrant de nouvelles techniques de ransomware, donnant naissance à l'ère d'un nouveau type de ransomware appelé « double extorsion. »

Le ransomware à double extorsion est une infection unique par ransomware qui implique deux menaces distinctes : le chiffrement de données critiques et l'exfiltration des fichiers chiffrés, avec la menace de faire fuiter publiquement les informations sensibles si la rançon n'est pas payée. 

Cette tactique a considérablement accru la pression sur les victimes, car elle a transformé les attaques par ransomware du statut de simple problème opérationnel à celui de risque grave de violation de données, avec des implications juridiques, réglementaires et réputationnelles potentielles. 

C'était le cas pour nos amis qui travaillent pour la ville. Avant de lancer la phase de chiffrement de l'attaque, le groupe de ransomware a exfiltré plusieurs Go de données et a menacé de faire fuiter ces données sur le Dark Web si ses demandes n'étaient pas satisfaites.

C'est là que les choses commencent à devenir compliquées. Tous les organismes chargés de l'application de la loi, des autorités locales au FBI, à la CISA, etc., vous conseilleront de ne pas payer la demande de rançon. Tous les professionnels de la sécurité, y compris ceux des fournisseurs de systèmes d'exploitation tels que Microsoft et les fournisseurs d'antivirus/anti-logiciels malveillants, vous donneront le même conseil. 

La raison est simple: tant que les entreprises continueront de payer, les cybercriminels continueront à lancer des cyberattaques. Une fois le paiement effectué (en Bitcoin ou autre cryptomonnaie), il n'existe aucune garantie que la clé de déchiffrement sera fournie, que le déchiffreur fonctionnera et que vous ne serez plus ciblé. 

C'est même plutôt le contraire, car l'attaquant a probablement encore une empreinte dans votre environnement. Et puisque vous avez déjà payé une fois, alors il y a de bonnes chances que vous payiez à nouveau. 

Plusieurs entreprises de sécurité déclarent que près de 78 % des entreprises qui paient une rançon sont de nouveau visées. Alors, il suffit de ne pas payer la rançon ? En pratique, les choses ne sont pas vraiment aussi simples. Selon la gravité de l'attaque, une entreprise peut ne pas être en mesure de récupérer ses données sans payer. 

Si l'attaquant peut accéder aux sauvegardes, il est certain qu'elles seront chiffrées (l'attaque commencera par les sauvegardes). Sans sauvegardes, l'infrastructure ne peut pas être restaurée. Même s'il existe des sauvegardes viables, de nombreuses entreprises éprouvent des difficultés à faire face au coût et au temps nécessaires à une reconstruction complète. 

Dans les grandes entreprises, les coûts de reconstruction et de restauration de leurs environnements pourraient bien dépasser le prix de la rançon. Dans ce cas, elles ne peuvent pas se permettre de ne PAS payer. 

En outre, le facteur temps ne peut pas être négligé. La restauration peut prendre des semaines, voire des mois, et pendant ce temps, les services stratégiques sur lesquels les membres de l'entreprise comptent ne sont pas disponibles. La pression quant à la restauration de ces services peut être immense. 

Le processus de restauration ne représente que la moitié du problème. Comme nous l'avons vu précédemment, la plupart des gangs de ransomwares utilisent désormais des logiciels malveillants à double extorsion. Ils volent d'abord toutes les données, puis les chiffrent. 

Les entreprises sont alors confrontées à la menace que les informations sensibles soient exposées au grand public. Le résultat serait une atteinte à l'image de l'organisation, une perte de confiance et d'éventuelles amendes ou autres sanctions. Une victime peut être condamnée à des amendes pour non-respect des lois sur la protection de la vie privée, elle doit également fournir un contrôle de crédit au personnel dont les informations ont été volées dans le cadre de la violation.

Ajoutez ces coûts à ce que la victime a déjà payé pour la restauration et vous pouvez obtenir un cauchemar financier. Dans certains cas, les résultats sont tellement catastrophiques que l'entreprise ne peut tout simplement pas se remettre de l'attaque. 

En 2022, le Lincoln College, dans l'Illinois, a été contraint de fermer définitivement en raison d'une attaque par ransomware. Déjà en difficulté financière en raison de la pandémie de COVID-19, l'université n'était pas en mesure de payer la rançon et son manque de préparation et de réponse à l'incident n'a pas permis d'y remédier. 

En conséquence, elle a été contrainte de fermer ses portes après 157 ans d'existante, une issue déchirante.

En fin de compte, le paiement d'une rançon devient une décision commerciale. Voici quelques-uns des facteurs qui influencent cette décision :

• Quels sont les impacts commerciaux liés au non-paiement ?

• Quels sont les impacts sur l'entreprise en cas de fuite de données exfiltrées ?

• Les systèmes peuvent-ils être récupérés si la rançon n'est pas payée ?

La ville de notre histoire n'a pas payé l'attaquant. Elle a réussi à négocier avec le gang de ransomware et à réduire de manière significative le montant de la rançon. Elle a eu la chance de pouvoir récupérer ses systèmes compromis, sans dépendre de la clé de déchiffrement. 

Cependant, elle a dû informer un grand nombre de personnes que leurs informations avaient été compromises et proposer un service de surveillance de crédit à toutes les personnes concernées. Cela dit, les effets auraient pu être bien pires.

Cela vous inquiète ? Je vous comprends. L'idée d'être victime d'un ransomware est effrayante. Mais cela ne doit pas vous empêcher de dormir la nuit. Avoir un plan et se préparer à l'avance peut réduire la gravité d'une attaque par ransomware ou en éviter une. 

Voici quelques stratégies que vous pouvez mettre en place immédiatement, notamment :

• Sauvegardes de données

• Pare-feu DNS

• Segmentation

• Accès à l'application Zero Trust

Assurez-vous d'avoir une stratégie de sauvegarde des données excellente (si elle est simplement bonne, cela ne suffira pas). Vous devez vous assurer que vous disposez de plusieurs copies de vos sauvegardes. Idéalement, au moins une d'entre elles doit être isolée afin que les attaquants ne puissent pas y accéder. Il s'agit de l'une des premières cibles d'une attaque, alors assurez-vous que l'acteur malveillant ne puisse pas la trouver. 

N'oubliez pas de vous entraîner à restaurer. Les sauvegardes de données sont nécessaires, mais si vous ne savez pas comment restaurer vos systèmes, la situation est presque aussi grave que si vous n'aviez pas de sauvegardes. Préparez-vous à tout restaurer, en particulier vos applications essentielles, vos données sensibles et votre infrastructure.

Les e-mails d'hameçonnage sont le vecteur d'infection le plus courant pour les ransomwares. Vous pouvez toujours essayer d'empêcher les gens de cliquer sur des liens d'hameçonnage et autres liens malveillants, mais vous n'y arriverez pas. Vous pouvez toutefois minimiser l'impact. 

Lorsqu'une personne clique sur un lien malveillant ou ouvre une pièce jointe malveillante, son système effectue une recherche DNS pour le domaine malveillant. Un pare-feu DNS peut bloquer la résolution du domaine malveillant et empêcher la liaison. Un pare-feu DNS peut bloquer les requêtes de connexion similaires à des domaines malveillants connus et à l'infrastructure de commande et de contrôle. 

Akamai Secure Internet Access est un excellent choix pour un pare-feu DNS. Les équipes de recherche sur les menaces d'Akamai utilisent des algorithmes avancés pour bloquer de manière proactive la résolution des domaines malveillants. La solution dispose même de la protection contre l'hameçonnage Zero Day. 

Elle s'améliore encore pour la communauté des gouvernements d'État, locaux, tribaux et territoriaux (SLTT, State, Local, Tribal and Territorial). Une version gratuite de Secure Internet Access est disponible pour les membres MS-ISAC via leur service de blocage et de signalement des domaines malveillants. 

Pour les entreprises qui ont besoin de davantage de protection, Secure Internet Access est disponible sous la forme de MDBR+ de MS-ISAC, et le CIS CyberMarket a considérablement réduit les tarifs pour les membres MS-ISAC qui souhaitent effectuer un achat directement auprès d'Akamai.

La triste réalité, c'est qu'il ne s'agit pas de savoir si une violation de données va se produire, mais quand... Lorsqu'une violation se produit, quelle est la capacité de l'acteur de la menace à se déplacer latéralement dans votre environnement pour diffuser ses logiciels malveillants ? 

La mise en place d'une segmentation est la clé du contrôle du mouvement latéral. La segmentation de base est utile, mais les résultats peuvent encore être dévastateurs. 

J'ai mentionné que la ville avait été en mesure de déconnecter le segment affecté de son réseau du reste des services. L'attaquant a tout de même pu lancer une attaque de ransomware dévastatrice. Les services stratégiques de la ville étaient hors ligne pendant une période prolongée, ce qui a entraîné des coûts financiers importants et une atteinte à la réputation de la marque. 

Les méthodes de segmentation traditionnelles utilisent des contrôles de couche 2 et de couche 3 sous forme de VLAN, de contrôles de pare-feu et de listes de contrôle d'accès. La microsegmentation est une approche plus efficace. L'utilisation d'une approche logicielle permet de contrôler la segmentation au niveau de l'hôte, ce qui limite davantage le rayon d'impact en cas de compromission. 

Akamai Guardicore Segmentation est le leader dans ce domaine. Akamai Guardicore Segmentation est une solution de pare-feu basée sur l'hôte qui offre une visibilité sur l'ensemble du trafic réseau de votre environnement, vous permettant de voir non seulement « qui parle à qui », mais aussi « de quoi on parle. » 

Cela signifie que nous pouvons non seulement voir quels terminaux communiquent entre eux, mais également obtenir des informations contextuelles détaillées de couche 7 sur les processus exécutés sur chaque système. 

Une telle visibilité vous permet de créer des politiques qui n'autorisent que les communications requises pour votre réseau et vos applications, afin qu'elles fonctionnent comme elles le doivent. Tout ce qui n'est pas spécifiquement autorisé est bloqué. Par conséquent, en cas de violation, l'attaquant ne peut pas se déplacer latéralement vers d'autres systèmes ni exécuter de processus qui lui permettent d'élever les privilèges. 

Cette approche logicielle peut rendre les projets de segmentation plus faciles et rapides à réaliser, ce qui améliore les positions de sécurité et accélère le retour sur investissement.

Dans notre histoire de la ville américaine touchée par un ransomware, le vecteur d'infection était un compte VPN compromis. Les VPN ont eu leur heure de gloire. Cependant, les entreprises ont besoin de mieux dans l'environnement de menaces actuel. 

L'accès VPN permet à l'utilisateur d'accéder au réseau, ce qui signifie que si l'utilisateur sait ce qu'il fait, il peut accéder à tout ce qui se trouve sur ce segment du réseau, qu'il soit ou non censé le faire. Comme nous l'avons appris, des informations d'identification compromises peuvent mener à un désastre. 

Une meilleure approche serait de remplacer les VPN par une solution d'accès aux applications Zero Trust. Ces produits offrent une expérience de connexion unique aux utilisateurs, leur permettant d'accéder uniquement aux ressources dont ils ont besoin pour faire leur travail, et rien d'autre. Les utilisateurs ne peuvent utiliser que ce qui leur a été attribué. 

Akamai Enterprise Application Access est un excellent choix pour répondre à cette exigence. Notre service proxy compatible multi-applications offre une expérience d'accès transparente aux applications, quel que soit l'endroit où se trouve l'origine de l'application ou le lieu depuis lequel l'utilisateur accède aux ressources. Enterprise Application Access peut également vous aider à gérer ces sessions de RDP embêtantes que vous n'avez pas encore eu le temps de retirer d'Internet. Vous pouvez même provisionner les sessions Remote Desktop Protocol et SSH accessibles via un navigateur Web, ce qui est idéal pour l'accès des fournisseurs tiers.