Le 2 juillet dernier est sortie l’information concernant la vaste attaque lancée par le gang de ransomware REvil contre les fournisseurs MSP et leurs clients dans le monde entier. Des milliers d’entreprises sont ainsi devenues des victimes potentielles du ransomware. A l’heure où l’on écrit ces lignes, les chercheurs de Kaspersky ont déjà identifiés plus de 5000 tentatives d’attaques en Europe ainsi qu’en Amérique du Nord et du Sud.
REvil (aka Sodinokibi) est l’un des opérateurs de ransomware-as-a-service (RaaS) les plus prolifiques. Il est apparu pour la première fois en 2019 et a fait la Une à de nombreuses reprises ces derniers mois, notamment à cause de ses cibles et des sommes records des rançons perçues. Dans l’attaque la plus récente, REvil a infecté un fournisseur de logiciel de Gestion informatique pour les MSP, ce qui a eu pour effet d’ affecter de nombreuses entreprises à travers le monde. Les attaquants ont déployé une charge utile malveillante via un script PowerShell qui, à son tour, a été vraisemblablement exécuté via le logiciel du fournisseur MSP.
Le script a désactivé les fonctionnalités de la protection Microsoft Defender for Endpoint et a ensuite décodé un exécutable malveillant qui comportait un système binaire Microsoft légitime, une ancienne version de la solution Microsoft Defender et une librairie malveillante contenant le ransomware REvil. En utilisant cette combinaison de composantes dans la machine, les attaquants ont été capables d’exploiter la technique DLL side-loading et d’attaquer un grand nombre d’organisations.
Géographie des tentatives d’attaques basée sur la télémétrie Kaspersky
En utilisant son service de Threat Intelligence, Kasersky a observé plus de 5000 tentatives d’attaques dans 22 pays, dont les plus touchés sont l’Italie (45,2% des tentatives d’attaques enregistrées), les USA (25,91%), la Colombie (14,83%), l’Allemagne (3,21%) et le Mexique (2,21%)
« Les gangs de ransomwares et leurs affiliés continuent d’améliorer leur jeu après les attaques récentes très médiatisées sur Colonial Pipeline et JBS, et sur de nombreuses autres organisations à travers le monde depuis. Cette fois, les opérateurs REvil ont mené une attaque massive sur les MSP, affectant alors les milliers d’entreprises qu’ils gèrent à travers le monde. » commente Vladimir Kuskov, Head of Threat Exploration chez Kaspersky. « Ce cas montre une fois encore au combien il est important d’implémenter des mesures et des solutions de cybersécurité sur tous les points d’entrée de l’entreprise – y compris les partenaires et fournisseurs ».
Kaspersky protège contre ces menaces et les détecte avec les appellations suivantes :
– UDS:DangerousObject.Multi.Generic
– Trojan-Ransom.Win32.Gen.gen
– Trojan-Ransom.Win32.Sodin.gen
– Trojan-Ransom.Win32.Convagent.gen
– PDM:Trojan.Win32.Generic (avec Detection Comportementale)
En savoir plus sur les dernières attaques REvil sur Securelist.
Pour protéger les organisations contre les attaques ransomwares, Kaspersky recommande de :
· Utiliser une solution de sécurité endpoint de confiance, telle que Kaspersky Endpoint Security for Business, qui comporte de la détection d’exploits, de la détection comportementale et un outil de remédiation capable de repousser les activités malveillantes. KESB dispose également de mécanismes d’auto-défense qui peuvent prévenir sa désactivation de la part des cybercriminels
· Ne pas exposer les services de bureau à distance (tels que les RDP) aux réseaux publics sauf si c’est vraiment nécessaire et utiliser des mots de passe robustes pour ces services
· Installer rapidement les patchs des solutions VPN commerciales qui fournissent un accès aux salariés à distance et qui agissent comme des portes d’entrées sur son réseau.
· Maintenir toujours les logiciels à jour sur l’ensemble des appareils utilisés pour empêcher les ransomwares d’exploiter les potentielles vulnérabilités.
· Axer sa stratégie de défense sur la détection de mouvements latéraux et d’exfiltrations de données sur Internet. Etre particulièrement attentif au trafic sortant pour détecter les connexions des cybercriminels. Faire des sauvegardes de données régulières. Faire en sorte que ces sauvegardes soient accessibles rapidement en cas de problème. Utiliser les dernières informations de Threat Intelligence pour rester au courant des TTPs actuellement utilisés par les acteurs de menace.
· Utiliser des solutions telles que Kaspersky Endpoint Detection and Response et des services tels que Kaspersky Managed Detection and Response qui aident à identifier et à stopper les attaques dès leurs balbutiements, avant que les attaquants n’atteignent leur objectif final.
· Protéger l’environnement corporate et éduquer les salariés. Des formations dédiées peuvent aider, telles que celles proposées dans Kaspersky Automated Security Awareness Platform. Une leçon gratuite sur la manière de se protéger des ransomwares y est d’ailleurs disponible.