Stopper REvil : Comment Illumio peut perturber l'un des groupes de ransomware les plus prolifiques

Les groupes de ransomware vont et viennent. Mais peu d'entre eux bénéficient de la notoriété de REvil. Également connu sous le nom de Sodinokibi, le groupe et ses affiliés ont été à l'origine de certaines des violations les plus audacieuses des 12 à 18 derniers mois. Les attaquants ont notamment perquisitionné un cabinet d'avocats célèbre et un géant de la transformation de la viande, ce qui leur a permis de gagner 11 millions de dollars. Parmi les autres campagnes notables, citons l'attaque sophistiquée contre la société de logiciels informatiques Kaseya et la compromission du fabricant taïwanais Quanta Computer, client d'Apple.

Ces deux derniers cas se distinguent par des demandes de rançon exorbitantes : 70 millions de dollars et 50 millions de dollars, respectivement. Mais aussi parce qu'ils ont exploité les chaînes d'approvisionnement mondiales, bien que de manière différente, pour atteindre leurs objectifs.

Bien que REvil ait été récemment perturbé par des arrestations et des sanctions, le groupe poursuivrait ses activités . La bonne nouvelle, c'est qu'avec Illumio à portée de main pour cartographier, surveiller et bloquer les connexions réseau à haut risque, vous pouvez atténuer la menace REvil - et celle de toutes les itérations qui suivront si le groupe finit par disparaître.

Pourquoi les attaques contre la chaîne d'approvisionnement sont-elles dangereuses ?

Les attaques de ransomware contre la chaîne d'approvisionnement sont dangereuses car elles peuvent perturber l'ensemble du réseau d'entreprises interconnectées. Ces attaques peuvent interrompre la production, retarder les livraisons et entraîner des pertes financières considérables.

En outre, ils peuvent conduire à des violations de données, exposant des informations sensibles dans plusieurs organisations, ce qui sape la confiance et nuit à la réputation.

L'interdépendance au sein des chaînes d'approvisionnement signifie qu'une attaque contre une entité peut avoir un effet en cascade, affectant de nombreuses autres entreprises et pouvant entraîner des conséquences économiques de grande ampleur.

Le raid d'avril 2021 sur Quanta Computer était intelligent. En tant que partenaire clé d'Apple pour la fabrication sous contrat, elle a accès à des plans et à des droits de propriété intellectuelle très sensibles. De plus, selon REvil, elle pourrait être moins bien protégée que le géant technologique de Cupertino.

Lorsque Quanta a refusé de payer, le groupe s'est adressé à Apple pour exiger la rançon, faute de quoi il divulguerait ou vendrait les documents volés. Nous ne savons pas s'ils ont réussi, mais toutes les données relatives au raid ont ensuite été retirées du site de fuites REvil, selon les rapports.

Que nous apprend cet incident ? Tout d'abord, votre organisation peut devenir une cible de ransomware/REvilsi elle fait des affaires avec des partenaires de grande valeur. Deuxièmement, votre sécurité se limite à celle de vos fournisseurs les moins sûrs.

Comment fonctionne REvil ?

L'attaque de Quanta elle-même contenait des éléments uniques. Mais le schéma général - l'exploitation de logiciels ou de services vulnérables orientés vers l'extérieur - a été utilisé dans d'innombrables campagnes. 

Dans ce cas, REvil a ciblé une vulnérabilité dans le logiciel Oracle WebLogic. Cela a permis aux acteurs de la menace de forcer un serveur compromis à télécharger et à exécuter des logiciels malveillants sans aucune action de la part de l'utilisateur. Il y avait deux scènes principales :

1. Les attaquants ont établi une connexion HTTP avec un serveur WebLogic non corrigé, puis l'ont forcé à télécharger la variante de ransomware Sodinokibi. Ils ont utilisé une commande PowerShell pour télécharger un fichier nommé "radm.exe" à partir d'adresses IP malveillantes, puis forcer le serveur à enregistrer le fichier localement et à l'exécuter.
2. Les attaquants ont tenté de chiffrer les données dans le répertoire de l'utilisateur et d'empêcher la récupération des données en supprimant les "copies fantômes" des données chiffrées que Windows crée automatiquement.

Comment arrêter le mal ?

Une bonne hygiène cybernétique, telle que l'application rapide de correctifs sur les terminaux à haut risque, peut contribuer à réduire la surface d'attaque des entreprises. Mais au-delà, une action plus globale peut être entreprise au niveau du réseau.

Les organisations doivent comprendre que même les canaux de confiance et les logiciels tiers peuvent devenir des vecteurs de logiciels malveillants et de ransomwares. Pour atténuer ce risque, il faut segmenter les solutions standard du reste de l'environnement, en particulier les outils de sécurité tels que la détection et la réponse des points d'extrémité (EDR) et la détection et la réponse étendues (XDR).

Les entreprises devraient également envisager d'identifier et de restreindre les connexions sortantes non essentielles. Cela signifie qu'il faut tout bloquer sauf les communications vers les adresses IP de destination autorisées, y compris sur les ports 80 et 443. Cela perturbera les acteurs de la menace qui tentent de "rappeler" les serveurs de commandement et de contrôle (C&C) afin de télécharger des outils supplémentaires pour faire progresser les attaques. Il bloquera également les tentatives d'exfiltration de données hors de l'organisation vers des serveurs sous leur contrôle.

Comment Illumio peut vous aider

La technologie avancée de segmentation sans confiance d' Illumio offre une gestion des politiques évolutive et sans effort pour protéger les actifs critiques et isoler les ransomwares. Illumio permet aux équipes de sécurité d'avoir une visibilité sur les flux de communication et les voies à haut risque. Nous appliquons ensuite un contrôle de segmentation complet jusqu'au niveau de la charge de travail afin de réduire considérablement votre surface d'attaque et de minimiser l'impact des ransomwares.

En trois étapes simples, Illumio peut protéger votre organisation contre les ransomwares comme REvil :

1. Cartographier toutes les communications sortantes essentielles et non essentielles
2. Déployer rapidement une politique de restriction des communications à grande échelle
3. Surveillez les connexions sortantes qui ne peuvent pas être fermées.
    

Pour plus de conseils sur les meilleures pratiques pour renforcer la résilience face aux ransomwares :

• Lisez notre ebook, Comment stopper les attaques de ransomware
• Téléchargez l'infographie, 3 étapes pour arrêter les ransomwares
• Inscrivez-vous aux laboratoires pratiques de l'Illumio Experience pour découvrir par vous-même la visibilité basée sur les risques et les capacités de segmentation zéro confiance d'Illumio.