Le Bulletin Cyber – Juin 2021

Découvrez l’édition du mois de juin de notre Bulletin Cyber, un condensé des dernières attaques par ransomware et les différents aspects de sécurisation des actions utilisateur. 

Ce mois a été chargé pour les acteurs du ransomware REvil. Dans cette nouvelle édition de notre bulletin, nos experts reviennent sur les derniers évènements rattachés à REvil ainsi que l’évolution du ransomware pour cibler les serveurs ESXi. Un rappel des moyens à mettre en place pour atténuer les risques d’attaques est également présenté.

Les acteurs malveillants redoublent sans cesse de créativité pour étendre leurs surfaces d’attaques, nous détaillons Siloscape, le premier malware découvert ciblant des conteneurs Windows. Pour finir, nos experts reviendront sur la fuite massive de mots de passes baptisée RockYou2021 et ses conséquences sur l’utilisateur final.

Le cas REvil

Revil, qu’est-ce que c’est ?

REvil est un ransomware-as-a-service (RaaS) dont les acteurs et les affiliés sont responsables de nombreuses attaques très médiatisées dans différents secteurs. Le montant des rançons varie en fonction de la victime, mais peut atteindre plusieurs millions. REvil mène des opérations de « chasse au gros gibier », en s'attaquant de manière opportuniste à des organisations dans des secteurs dont le chiffre d'affaires est supérieur ou égal à 1 milliard de dollars. Parmi les victimes précédentes, on compte des organisations occidentales dans les domaines de l'agriculture, du gouvernement, de la santé, de l'assurance, des FAI, de la fabrication, des services professionnels, ou encore de la vente au détail et de la technologie.

Leurs récentes activités

Le 30 mai 2021, JBS a déclaré avoir été victime d’une attaque par ransomware qui a touché ses systèmes informatiques de toute l'Amérique du Nord et de l'Australie, entraînant des arrêts proactifs des opérations dans ces régions [1].

Le 1er juin, JBS avait commencé à restaurer les opérations des usines et prévoyait que la « grande majorité » de ses opérations seraient rétablies le 3 juin. Le FBI a attribué l'attaque au groupe criminel russe REvil [2]), responsable de rançonnements antérieurs de 50 millions de dollars chez Acer et Quanta.

Les enquêtes sur l'accès initial et les actions habilitantes sont en cours ; cependant, REvil utilise systématiquement un ensemble commun de tactiques et de techniques contre lesquelles les organisations peuvent se protéger. Plus tôt cette année, Kaspersky a signalé que le groupe avait exigé les rançons les plus élevées en 2021 [3].

Dernières évolutions du ransomware : les serveurs ESXi ciblés

Le chercheur en sécurité MalwareHunterTeam [4] a découvert une version Linux du ransomware REvil qui tente de cibler les serveurs ESXi.

Lors de l'analyse du malware, il apparaît qu'il s'agit d'un exécutable ELF64 [5] qui utilise les mêmes options de configuration que l'exécutable Windows le plus courant [6].

Le ransomware REvil peut facilement chiffrer des fichiers, après avoir fermé les fichiers du disque de la machine virtuelle (VMDK) stockés dans le dossier /vmfs/. Si une machine virtuelle n'est pas correctement fermée avant de chiffrer son fichier, cela peut entraîner une corruption des données. En exécutant l'outil de ligne de commande esxcli, un acteur malveillant peut répertorier toutes les machines virtuelles ESXi actuelles et les fermer. Cela signifie que plusieurs serveurs peuvent être chiffrés en même temps avec une seule commande.

D'autres ransomwares, comme GoGoogle et DarkSide, ont également créé des chiffreurs Linux pour cibler les machines virtuelles ESXi. Cependant, c'est la première fois connue que la variante Linux est publiquement disponible depuis son lancement.

En mai, des chercheurs en sécurité ont confirmé que le ransomware REvil avait publié une version Linux de son chiffreur qui pouvait également fonctionner sur des périphériques NAS.

Priorités en matière de préparation, de détection et d'atténuation des risques

Voici quelques mesures simples que vous pouvez prendre et qui limiteront votre risque d'être frappé par une attaque.

• Limitez la connectivité PowerShell Remoting, RDP, SMB, WinRM et WMI entre les hôtes ainsi qu'entre les hôtes et les serveurs/actifs critiques.
• Donnez la priorité aux correctifs et à la gestion des vulnérabilités en fonction des données, des comptes et de la connectivité associés à chaque actif.
• Assurez-vous que les hôtes sur le réseau et les hôtes distants disposent de protections similaires en matière de sandboxing de liens, de sinkholing de domaines et de filtrage de ports via des solutions de messagerie, de proxy et de pare-feu basées sur le réseau et l'hôte.
• Mettez en œuvre une zone administrative à plusieurs niveaux ; provisionnez explicitement les postes de travail à accès privilégié et les comptes privilégiés pour une utilisation uniquement dans les niveaux désignés.
• Établissez un groupe de sécurité « Protected Users » et appliquez le filtrage par jeton UAC pour les comptes locaux.
• Sauvegardez et testez régulièrement les fichiers importants en suivant la meilleure pratique 3-2-1 de Microsoft (trois sauvegardes sur deux supports de stockage différents, dont une stockée hors site).
• Limitez les comptes d'administrateurs locaux pour qu'ils n'initient pas de connexions basées sur le réseau, les services ou RDP sur les terminaux.
• Configurez explicitement les antivirus, EDR et autres logiciels basés sur les postes de travail pour qu'ils fonctionnent en mode sans échec.
• Envisagez de mettre en œuvre une solution de sauvegarde immuable pour éviter tout impact sur les sauvegardes en ligne et permettre une récupération rapide.
• Testez régulièrement une solution de sauvegarde hors site pour tous les appareils, systèmes et configurations logiciels informatiques critiques.
• Veillez à ce que les plans de reprise et continuité d’activité incluent des contingences pour l'authentification et la communication impactées, telles que des contrôleurs de domaine, des serveurs de messagerie ou un réseau VoIP chiffrés.

Siloscape : le premier malware découvert ciblant des conteneurs Windows

Selon les chercheurs de « l’Unit 42 » [7], Siloscape est le premier malware découvert ciblant les clusters Kubernetes par le biais de conteneurs Windows. Son objectif principal est d'ouvrir une porte dérobée dans les clusters Kubernetes mal configurés afin d'exécuter des codes malveillants tels que, mais pas seulement, des cryptojackers.

Siloscape, détecté pour la première fois en mars 2021, se caractérise par plusieurs techniques, notamment le ciblage d'applications cloud communes, telles que les serveurs web, pour obtenir un accès initial via des vulnérabilités connues, avant l’exploitation de techniques d'évasion des conteneurs Windows pour sortir de l'enceinte du conteneur et obtenir des privilèges d’exécution de code à distance sur le nœud sous-jacent.

Un conteneur est un silo [8] isolé et léger permettant d'exécuter une application sur le système d'exploitation hôte. Le nom du malware - abréviation de silo escape - est dérivé de son objectif principal, qui est de s'échapper du conteneur. Pour y parvenir, Siloscape utilise une méthode appelée Thread Impersonation. Siloscape imite les privilèges de CExecSvc.exe [9] en se faisant passer pour son thread principal, puis appelle NtSetInformationSymbolicLink sur un lien symbolique nouvellement créé pour s'échapper du conteneur.

Armé de ce privilège, le malware tente ensuite d’exploiter des informations d'identification du nœud pour se répandre dans le cluster, avant d'établir anonymement une connexion à son serveur de commande et de contrôle (C2) à l'aide d'un proxy Tor pour obtenir d'autres instructions, notamment pour profiter des ressources informatiques d'un cluster Kubernetes pour le cryptojacking, et même, pour exfiltrer des données sensibles des applications exécutées dans les clusters compromis.

Après avoir obtenu l'accès au serveur C2, l'Unité 42 dit avoir trouvé 23 victimes actives, le serveur hébergeant un total de 313 utilisateurs. Contrairement à la plupart des logiciels malveillants en nuage, qui se concentrent principalement sur le détournement de ressources et le déni de service (DoS), Siloscape ne se limite pas à un objectif spécifique. Au contraire, il ouvre une porte dérobée à toutes sortes d'activités malveillantes.

Comme mesures d'atténuation, les utilisateurs sont invités à configurer de manière sécurisée les clusters Kubernetes et à déployer des conteneurs Hyper-V si la conteneurisation est utilisée comme une forme de frontière de sécurité.

La nouvelle compilation de mot de passe RockYou2021 mise à disposition

Un fichier txt de 100 Go contenant 8,4 milliards de mots de passe qui ont vraisemblablement été collectés lors de précédentes violations de données a été publié sur un forum d’hacker. D'après la fuite, les 8 459 060 239 milliards de mots de passe sont composés de 6 à 20 caractères, sans caractères non-ASCII ni espaces [10].

La compilation elle-même a été baptisée « RockYou2021 » par l'utilisateur du forum ayant posté le fichier, probablement en référence à la tristement célèbre violation de données de RockYou [11], survenue en 2009, lorsque des acteurs malveillants ont compromis les serveurs d'applications de réseaux sociaux et ont eu accès à plus de 32 millions de mots de passe d'utilisateurs stockés en texte clair.

En combinant 8,4 milliards de variantes de mots de passe uniques avec d'autres compilations comprenant des noms d'utilisateur et des adresses électroniques, les acteurs malveillants peuvent utiliser la collection RockYou2021 pour monter des attaques par bourrage d’identifiant (ou « credential stuffing » en anglais) et par pulvérisation de mots de passe (ou « password spraying » en anglais) contre un nombre incalculable de comptes en ligne.

Étant donné que la plupart des gens réutilisent leurs mots de passe dans de nombreuses applications et sur de nombreux sites Web, le nombre de comptes touchés par des attaques de type « credential stuffing » et « password spraying » à la suite de cette fuite peut potentiellement atteindre des millions, voire des milliards.

Pour vérifier si votre mot de passe fait partie de cette gigantesque fuite, rendez-vous sur le site CyberNews personal data leak checker [12].

Conclusion

A l’heure de la rédaction de ce bulletin mensuel, le groupe REvil revendique une attaque ayant visé plusieurs dizaines de fournisseurs de services gérés aux Etats-Unis qui aurait paralysé plusieurs millions de terminaux informatiques. Les attaquants ont exploité une vulnérabilité dans le logiciel Kaseya VSA, un outil de gestion de parc informatique et de surveillance réseau, et s’est propagé en diffusant des mises à jour malveillante chez les clients utilisant cet outil.

L’évolution des outils des acteurs malveillants, les vulnérabilités nouvelles ainsi que les fuites de mots de passes montrent que la sécurité informatique est en constante évolution et ne se résume pas à des prestations de sécurité ponctuelles mais nécessite une réelle intégration dans l’ensemble des activités d’une entreprise.

Pour aller plus loin

Les dirigeants, les conseils d'administration et les responsables de la cybersécurité ne sont pas toujours informés des menaces que suscitent les nouvelles formes émergentes de cybercriminalité. Ce bulletin propose une vision claire de ces menaces, qu’elles soient sectorielles, informatiques ou mobiles. Il présente les dernières tendances ainsi qu’une version synthétique des rapports proposés chaque semaine à nos clients. N’hésitez pas à nous contacter pour plus d’informations

Nos atouts

• Le Lab : 600m2 dédiés à la recherche et au développement à l’innovation et à la transformation numérique.
• War Room : Un environnement hautement sécurisé exploitant des solutions collaboratives et des technologies propriétaires innovantes.
• Cyber Teams : L’équipe EY France cybersécurité est composée d’experts pluridisciplinaires, proposant des solutions nouvelles pour résoudre des problématiques stratégiques pour nos clients.
• CyberEye : Une solution leader de Cyber Threat Intelligence solution, apportant une connaissance précise des cybermenaces pouvant toucher les entreprises.
• ASC and CTI : Nos 63 Advanced Security Centers, situés dans de nombreux pays, partagent des renseignements opérationnels et centrés vers les entreprises pour notre Cyber Threat Intelligence.

Ce qu’il faut retenir :

Les acteurs cyber malveillants semblent toujours parvenir à trouver des failles dans la protection des données d’une entreprise. Cela signifie que les frontières de sécurité doivent être renforcées et adaptées à chaque cas de figure, et que les bonnes pratiques pour contrer et limiter les risques ne sont pas encore bien assimilées.