Cuba Ransomware a enfreint 49 entités d’infrastructures critiques

  • FrançaisFrançais



  • Dans une alerte éclair, le Federal Bureau of Investigation (FBI), en coordination avec le DHS/CISA, a identifié que depuis début novembre 2021, le ransomware Cuba avait infiltré environ 49 entités ; du secteur des infrastructures critiques telles que les finances, le gouvernement, les soins de santé, la fabrication et les technologies de l’information dans le pays.

    Selon l’alerte flash, les acteurs du ransomware Cuba utilisent l’extension “.cuba” pour le cryptage des fichiers cibles et infiltrent le réseau. Le gang de rançongiciels aurait exigé au moins 74 millions de dollars et reçu au moins 43,9 millions de dollars en paiements de rançon.

    Cuba Ransomware déployé par Hancitor

    L’équipe Group-IB Threat Intelligence and Attribution a découvert que les acteurs de la menace utilisent activement Hancitor pour déployer le ransomware Cuba. Selon l’équipe, Cuba ransomware est actif depuis au moins janvier 2020. Ses opérateurs ont un site DLS, où ils publient des données exfiltrées de leurs victimes qui ont refusé de payer la rançon. Il a ajouté que le téléchargeur Hancitor était actif depuis au moins 2016 pour avoir abandonné Pony et Vawtrak. En tant que chargeur, il a été utilisé pour télécharger d’autres familles de logiciels malveillants, telles que Ficker Stealer et NetSupport RAT, sur des hôtes compromis. Les acteurs du malware Hancitor utilisent des e-mails de phishing, des vulnérabilités Microsoft Exchange, des informations d’identification compromises ou des outils RDP (Remote Desktop Protocol) légitimes pour obtenir un accès initial au réseau d’une victime. Par la suite, les acteurs du ransomware à Cuba utilisent des services Windows légitimes, tels que PowerShell, PsExec et d’autres services non spécifiés, puis exploitent les privilèges d’administrateur Windows pour exécuter leur ransomware et d’autres processus à distance.

    La vue technique

    Le FBI a expliqué le fonctionnement technique du ransomware malveillant. Il a déclaré: «Le ransomware Cuba, en cas de compromission, installe et exécute une balise CobaltStrike en tant que service sur le réseau de la victime via PowerShell. Une fois installé, le ransomware télécharge deux fichiers exécutables, qui incluent « pones.exe » pour l’acquisition du mot de passe et « krots.exe », également connu sous le nom de KPOT, permettant aux acteurs cubains du ransomware d’écrire dans le fichier temporaire (TMP) du système compromis. Une fois le fichier TMP téléchargé, le fichier « krots.exe » est supprimé et le fichier TMP est exécuté sur le réseau compromis. Le fichier TMP comprend des appels d’interface de programmation d’application (API) liés à l’injection de mémoire qui, une fois exécuté, se supprime du système. Lors de la suppression du fichier TMP, le réseau compromis commence à communiquer avec un référentiel de logiciels malveillants signalé situé sur le site Uniform Resource Locator (URL) teoresp.com basé au Monténégro.

    Atténuations

    Les mesures d’atténuation suivantes ont été suggérées pour atténuer le risque de compromission par le ransomware Cuba :

    • Exiger tous les comptes avec des connexions par mot de passe (par exemple, compte de service, comptes d’administrateur et comptes d’administrateur de domaine) pour avoir des mots de passe forts et uniques. Les mots de passe ne doivent pas être réutilisés sur plusieurs comptes ou stockés sur le système auquel un adversaire peut avoir accès.
    • Exiger une authentification multifacteur pour tous les services dans la mesure du possible, en particulier pour la messagerie Web, les réseaux privés virtuels et les comptes qui accèdent aux systèmes critiques.
    • Gardez tous les systèmes d’exploitation et logiciels à jour. L’application de correctifs en temps opportun est l’une des mesures les plus efficaces et les plus rentables qu’une organisation puisse prendre pour minimiser son exposition aux menaces de cybersécurité.
    • Supprimer les accès inutiles aux partages administratifs, restreignez les privilèges uniquement aux comptes de service ou d’utilisateur nécessaires et effectuez une surveillance continue des activités anormales.
    • Utiliser un pare-feu basé sur l’hôte pour autoriser uniquement les connexions aux partages administratifs via le bloc de messages serveur (SMB) à partir d’un ensemble limité d’ordinateurs administrateurs.
    • Segmentez les réseaux pour empêcher la propagation des ransomwares. La segmentation du réseau peut aider à empêcher la propagation des ransomwares en contrôlant les flux de trafic entre – et l’accès à – divers sous-réseaux et en limitant les mouvements latéraux de l’adversaire.
    • Identifier, détecter et enquêter sur les activités anormales et la traversée potentielle du ransomware indiqué avec un outil de surveillance réseau. Pour aider à détecter le ransomware, implémentez un outil qui enregistre et signale tout le trafic réseau, y compris l’activité de mouvement latéral sur un réseau. Les outils de détection et de réponse des points de terminaison (EDR) sont particulièrement utiles pour détecter les connexions latérales, car ils ont un aperçu des connexions réseau communes et inhabituelles pour chaque hôte.
    • Mettre en œuvre un accès basé sur le temps pour les comptes définis au niveau administrateur et supérieur. Il s’agit d’un processus dans lequel une politique à l’échelle du réseau est mise en place pour désactiver automatiquement les comptes d’administrateur au niveau AD lorsque le compte n’en a pas directement besoin. Lorsque le compte est nécessaire, les utilisateurs individuels soumettent leurs demandes via un processus automatisé qui permet l’accès à un système, mais uniquement pendant une période définie pour prendre en charge l’achèvement des tâches.
    • Désactivez les activités et les autorisations de ligne de commande et de script. L’escalade des privilèges et le déplacement latéral dépendent souvent des utilitaires logiciels qui s’exécutent à partir de la ligne de commande. Si les acteurs malveillants ne sont pas en mesure d’exécuter ces outils, ils auront des difficultés à augmenter leurs privilèges et/ou à se déplacer latéralement.
    • Maintenir des sauvegardes hors ligne des données, et maintenez régulièrement la sauvegarde et la restauration. Cette pratique garantira que l’organisation ne sera pas gravement interrompue et disposera de données irrécupérables.
    • Assurez-vous que toutes les données de sauvegarde sont cryptées et immuables (c’est-à-dire qu’il ne peut être ni modifié ni supprimé) et couvre l’ensemble de l’infrastructure de données de l’organisation.

    Alors que les fêtes de fin d’année sont témoins d’une augmentation importante des cybercrimes prémédités, la US Cybersecurity and Infrastructure Security Agency (CISA) et le FBI rappellent à toutes les organisations – grandes ou petites – et aux partenaires d’infrastructures critiques que les groupes d’acteurs malveillants lancent de manière proactive des cyberattaques préméditées.

    Les autorités ont publié des avis à l’intention des organisations, en particulier des infrastructures et des services critiques, afin d’évaluer le niveau de sécurité actuel et de mettre en œuvre les meilleures pratiques et mesures d’atténuation pour atténuer la menace posée par les cyberattaques.

    Malgré les alertes, nous continuons de constater une augmentation du nombre de victimes d’attaques de ransomware. De nombreuses organisations cèdent à ces demandes pour protéger leur réputation, leurs informations critiques, leurs données et leur situation financière.

    Satya Gupta, cofondateur et directeur technique, VirsecSatya Gupta, cofondateur et directeur technique, Virsec, opiné, « Les infrastructures critiques resteront une cible très lucrative. Il y a un changement subtil mais massif dans les tactiques des attaquants qui se produit et nous risquons d’être totalement pris au dépourvu. Les attaquants creusent de plus en plus leurs attaques profondément dans l’environnement d’exécution du logiciel en exploitant les vulnérabilités. Le fait d’être plus profond dans l’exécution du logiciel aide les attaquants à échapper aux découvertes précoces, comme en témoigne la méthode de ce groupe.

    « Alors que de nombreuses divulgations de vulnérabilités sont accompagnées d’un correctif logiciel, les attaquants les plus sophistiqués exploitent souvent des vulnérabilités non divulguées. Dans une récente interview, la directrice de CISA, Jen Easterly, a fait remarquer que plus de “90 % des vulnérabilités exploitées par les ransomwares sont associées à des correctifs”. Ce qui n’est pas dit, c’est que 10 % des attaques sont des vulnérabilités pour lesquelles les correctifs ne sont pas disponibles. Quoi qu’il en soit, l’application de correctifs n’est pas une stratégie de sécurité efficace. En effet, même si un correctif était disponible, de nombreuses entités traîneront les pieds pour déployer le correctif.

    Les autorités gouvernementales ont également donné la priorité aux attaques de ransomware et font pression sur les groupes de ransomware pour qu’ils cessent leurs opérations afin de faire face à la menace croissante.

    Voir également: L’administration Biden et les géants de la technologie s’unissent pour élever la barre en matière de cybersécurité

    Les organisations doivent être en alerte constante et revoir leur posture de sécurité à un niveau micro, car les acteurs de la menace recherchent activement la moindre vulnérabilité et lancent leur attaque vicieuse.

    Gupta a déclaré : « La seule façon dont les entreprises peuvent vraiment se protéger est de déployer des contrôles de sécurité d’exécution qui empêchent l’attaquant d’exploiter avec succès les vulnérabilités. Ces contrôles empêcheront les attaquants, en quelques millisecondes, d’exploiter avec succès les vulnérabilités. Ce type de protection est non seulement possible, mais obligatoire si nous voulons empêcher d’autres attaques réussies de ransomware.

    Source

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée.