Un nouveau mode d’extorsion se répand : des attaques DDoS associées à un ransomware
Les rançongiciels ne connaissent pas la crise, tant leur diffusion a connu une croissance rapide ces derniers mois, comme le rappelait l’ANSSI il y a peu. Pourtant, réussir à infecter un système d’information par un ransomware n’est pas pour autant gage de garantie de paiement pour les attaquants ; les autorités françaises ont toujours insisté sur le fait qu’il ne fallait pas payer les attaquants, et la prise de conscience des entreprises face à cette menace a pu les conduire à mettre en place des mesures de sécurité efficaces contre ces cryptolockers. Comment, dans ces conditions, rendre le business du ransomware – puisqu’il s’agit bien, avant tout, d’un marché – plus lucratif ? Le groupe Avaddon a trouvé une solution radicale : accentuer la pression sur les victimes en combinant infection du SI par un ransomware à une attaque DDoS sur les sites web façade de l’entité. En plus, le groupe impose un ultimatum de prise de contact de 10 jours, au terme duquel les données récupérées sont rendues publiques. Une combinaison de plusieurs techniques classiques d’extorsion qui rend l’attaque plus efficace et la crise plus difficile à gérer. D’autant que le cours du Bitcoin n’en finit plus d’atteindre des sommets. De quoi reconsidérer toute l’utilité de la mise en place de mesures de cybersécurité avant qu’un tel scénario ne se produise.
Emotet et Netwalker démantelés par une opération de police internationale
Dans des communiqués de presse séparés de quelques jours, les autorités américaines ont annoncé, par la voix du Department of Justice (DoJ), la saisie et le démantèlement du ransomware Netwalker, pendant que les forces européennes de police Europol ont annoncé avoir saisi et démantelé le botnet Emotet. Pour mettre à mal l’infrastructure EMOTET, les forces de l’ordre se sont associées pour créer une stratégie opérationnelle aboutissant à l’action de cette semaine par laquelle les forces de l’ordre et les autorités judiciaires ont pris le contrôle de l’infrastructure et l’ont démontée de l’intérieur. Les machines infectées des victimes ont été redirigées vers cette infrastructure contrôlée par les forces de l’ordre. EUROPOL se félicite de cette approche "unique et nouvelle pour perturber efficacement les activités des facilitateurs de la cybercriminalité". Ces deux malwares sévissaient en France, à tel point que les autorités françaises avaient alerté sur les risques liés à la propagation d’Emotet. EUROPOL propose un service pour savoir si votre organisation a été touchée par Emotet, sur la base d’une adresse email. Dans le cas de Netwalker, et selon des documents judiciaires transmis par le DoJ américain, NetWalker fonctionnait comme un Ransomware-as-a-Service, impliquant des «développeurs» et des «affiliés». Les développeurs étaient responsables de la création et de la mise à jour du ransomware et de sa mise à disposition des affiliés. Les affiliés, eux, étaient chargés d’identifier et d’attaquer les victimes. Une fois qu’une victime avait payé, les développeurs et les affiliés se partageaient la rançon.
Des chercheurs ont réussi à contourner Azure Functions et Docker
Azure Functions est un service permettant d’exécuter du code très simplement et rapidement, sans avoir à acheter des serveurs ou louer quoi que ce soit – en étant client Azure tout de même. Le principe est simple : on charge le code, et des machines chez Microsoft l’exécutent. Ce code est censé être exécuté dans un environnement dédié, protégé, cloisonné, le but étant qu’il ne puisse pas aller compromettre Microsoft, ni les autres clients de Azure Functions. À cette fin, la technologie des containers (Docker) est utilisée. Les chercheurs en sécurité de Intezer ont pu constater que la "machine" (le container) sur laquelle le code est exécuté expose un service par défaut (démarré par Azure) dont les sources sont fermées, et qu’ils [les utilisateurs/chercheurs] ne disposaient pas de documentation associée. Ils ont réussi à obtenir l’exécutable qui fait tourner ce service et l’ont reverse (rétro-ingénierie). L’exécutable permet entre autres de monter des systèmes de fichier (lecteurs réseau) dans la machine. Cela leur a permis de compromettre entièrement le container dans lequel leur code tourne (ce qui constitue un bel échec de la sécurité par l’obscurité). Au-delà, la machine "physique" qui fait tourner le container a démarré le container avec des options dangereuses, permettant "as a feature" au container de faire exécuter des commandes dessus. Depuis le container les chercheurs ont pu exécuter des commandes sur la machine physique. Comme cette machine "physique" héberge des containers, on peut imaginer qu’ils peuvent accéder aux containers d’autres clients Azure, pour les compromettre et accéder à leurs données, voire de rebondir à l’intérieur du réseau d’Azure pour compromettre ce coin de réseau géré par Microsoft.
Des attaquants distants peuvent désormais atteindre les périphériques réseau protégés via le NAT Slipstreaming
Selon des chercheurs d’Armis, et notamment Samy Kamkar, directeur de la sécurité et co-fondateur d’Openpath Security, des attaquants peuvent exécuter une attaque en convaincant simplement une cible disposant d’un accès Internet sur le réseau de cliquer sur un lien malveillant. À partir de là, les cybercriminels peuvent accéder à d’autres points de terminaison non exposés, y compris des appareils non gérés tels que les contrôleurs industriels, sans aucune ingénierie sociale supplémentaire. NAT est le processus de connexion des périphériques réseau internes à Internet extérieur ; il permet à un routeur d’autoriser le partage d’une adresse IP publique unique à plusieurs périphériques qui lui sont connectés. Dans les environnements d’entreprise, les fonctions NAT sont associées à des pare-feu pour offrir une meilleure cybersécurité du périmètre. Dans l’attaque originale de NAT Slipstreaming, révélée et atténuée en novembre 2020 – déjà par Samy Kamlar -, un attaquant persuade une victime de visiter un site Web spécialement conçu (via de l’ingénierie sociale et d’autres tactiques) ; une victime, au sein d’un réseau interne, qui clique dessus est ensuite redirigée vers le site Web d’un attaquant. Le site Web, à son tour, trompera le NAT du réseau victime en ouvrant un chemin d’entrée (d’un port TCP ou UDP) depuis Internet vers le périphérique victime. Dans la nouvelle version de l’attaque (2.0), les attaquants peuvent tromper le NAT de telle sorte qu’il crée des chemins entrants vers n’importe quel appareil du réseau interne, et pas seulement vers l’appareil victime qui a cliqué sur le lien. La capacité d’atteindre des appareils sans interaction humaine signifie que les attaquants peuvent atteindre non seulement les ordinateurs de bureau, mais également d’autres appareils qui n’ont généralement pas d’opérateurs humains – des appareils non gérés comme des imprimantes, des contrôleurs industriels, des accessoires Bluetooth, des caméras IP, etc., et d’y injecter des programmes malveillants ou de les rendre indisponibles par des attaques DDoS.
Une campagne d’espionnage vise les chercheurs en cybersécurité
Les équipes de Google Threat Analysis Group ont suivi, pendant plusieurs mois, une campagne d’ingénierie sociale visant les chercheurs en cybersécurité, et plus précisément ceux travaillant sur les vulnérabilités et ceux spécialisés dans le développement. Afin d’asseoir la crédibilité et la légitimité de leurs actions, les attaquants ont créé plusieurs un faux-blog dédié à la recherche sur la cybersécurité, de faux comptes sur plusieurs plateformes de réseaux sociaux afin de prendre contact avec la communauté (de cybersécurité, pas de l’anneau). Une fois le contact pris avec les personnes ciblées, les attaquants proposaient aux victimes de collaborer sur un projet de recherche de vulnérabilités, en partageant un projet Visual Studio Project qui contenait un programme malveillant destiné à espionner les cibles. Autre mode opératoire, des liens vers des supposés présentations de vulnérabilités découvertes (write-ups) contenant des programmes malveillants. Les attaquants ont ainsi utilisé plusieurs plateformes pour communiquer avec des cibles potentielles, notamment Twitter, LinkedIn, Telegram, Discord, Keybase ou encore le bon vieux e-mail. Les équipes de Google TAG recensent les comptes et blogs affiliés aux attaquants, qu’ils estiment associés aux autorités nord-coréennes.
Y’a plus, je laisse ?
Ne jamais sous-estimer un utilisateur Reddit. r/TradingPlaces2.0