Alors que l'activité russe en Ukraine est passée d'une tension accrue à une véritable invasion, le champ de bataille s'est déroulé à la fois sur le plan physique et sur le plan cybernétique. À cette fin, de nouveaux logiciels malveillants de type "wiper", attribués à des acteurs étatiques russes, ont été déployés pour détruire et dégrader les biens et les infrastructures ukrainiens, mais le rayon d'action de l'explosion ne se limitera certainement pas à ces cibles.
Pour les organisations qui pourraient se trouver directement ou indirectement dans le collimateur de ce conflit, il existe des mesures pratiques à prendre pour se protéger.
Les ransomwares et les Wiper Malwares sont étroitement liés.
Ce logiciel malveillant est étroitement lié aux logiciels rançonneurs que nous connaissons tous depuis quelques années. La seule véritable différence réside dans l'objectif final : détruire de manière irréversible les données et l'accessibilité aux systèmes. Par conséquent, nous devrions nous appuyer sur les leçons durement tirées des attaques de ransomware de ces dernières années, en particulier celles attribuées à des groupes russes ou étroitement liées à ceux-ci.
À l'instar des attaques par ransomware, les campagnes de logiciels malveillants de type wiper tendent à exploiter des exploits contre des services accessibles de l'extérieur pour s'implanter dans le réseau d'une organisation. À partir de là, des canaux C2 sont mis en place (y compris des shells web dans la zone démilitarisée) pour assurer un contrôle permanent. Une fois ce point d'ancrage établi, les attaquants déversent les informations d'identification
et les utilisent pour étendre leur accès à l'environnement dans le but de maximiser leur capacité à infliger des dommages. Dans la phase finale de l'attaque, le logiciel malveillant "wiper" est activé pour rendre le système inopérant. Les attaquants mettent en œuvre cette dernière étape une fois qu'ils ont maximisé leur portée ou s'ils sont alertés qu'ils ont été découverts et qu'ils risquent de perdre le contrôle.
Chaque étape du passage d'un système compromis à un réseau entier de systèmes compromis consiste à maximiser l'impact final. Les attaquants ne peuvent y parvenir qu'en utilisant leur point de compromission initial pour se déplacer dans le réseau et étendre leur accès aussi largement que possible.
Les techniques utilisées pour étendre leur contrôle et leur impact sont les mêmes que celles que nous avons observées pendant des années - l'utilisation d'informations d'identification sur des systèmes compromis pour accéder à de nouveaux systèmes, l'accès à d'autres informations d'identification, et ainsi de suite - jusqu'à ce qu'ils aient (idéalement) le contrôle total de l'environnement.
L'une des victimes des attaquants du wiper a déclaré que son contrôleur de domaine avait été compromis par cette technique, que les attaquants ont ensuite utilisée pour distribuer et exécuter le logiciel malveillant du wiper sur tous les systèmes. Il s'agit d'une technique que nous avons vu les opérateurs de ransomware utiliser à plusieurs reprises.
Comme pour les rançongiciels, nous nous attendons à ce que les CIO divulgués et les logiciels malveillants utilisés évoluent au fil du temps. Il est facile pour les attaquants d'effectuer ces changements rapidement. En revanche, il est peu probable que les techniques utilisées par les attaquants pour implanter des logiciels malveillants et obtenir un impact maximal dans un environnement changent.
Mesures pratiques pour se protéger contre le malware Russian Wiper
En fin de compte, ces menaces représentent une intention de destruction, et les organisations ont tout intérêt à améliorer leur résilience et à mettre en place des plans pour assurer un rétablissement rapide. Il existe des mesures pratiques à prendre, dont beaucoup ne sont pas de nouvelles recommandations, mais peuvent se trouver quelque part dans l'arriéré de votre organisation. Compte tenu de l'évolution du paysage des menaces, nous suggérons aux organisations de refaire leur calcul des risques et d'apporter tout ou partie des changements suivants.
- Enleverles fruits les plus faciles à cueillir. Apporter des correctifs et protéger les biens accessibles au public. Les actifs accessibles au public dont les vulnérabilités sont connues et exploitables sont des cibles faciles et l'application de correctifs doit être une priorité absolue. La CISA tient à jour une bonne liste de ces vulnérabilités. Dans le même ordre d'idées, les comptes d'accès VPN et les portails de connexion publics ou les services SaaS doivent être protégés par une authentification multifactorielle.
- Contrôlerla DMZ. Le trafic sortant autorisé de la zone démilitarisée du réseau doit faire l'objet d'une liste blanche explicite afin qu'il soit plus difficile pour un adversaire de s'y implanter. Une telle liste blanche peut être difficile à maintenir, mais elle complique considérablement la capacité d'un adversaire à exécuter efficacement des commandes et des contrôles à partir de votre zone démilitarisée.
- Trustand Least Privilege(confianceet moindre privilège). Nous faisons souvent le lien avec les informations d'identification administratives, mais dans ce cas, il convient de considérer les systèmes accessibles au public et le reste du réseau. Le risque accumulé lié à toutes les fois où les systèmes et les comptes ont été surprivilégiés pour faciliter le déploiement et le fonctionnement est souvent un facteur clé qui permet l'attaque.
- Maintenez voscollaborateurs dans le jeu. Dans la mesure du possible, imposez des temps d'arrêt lorsque vous n'êtes pas en mode crise. Maintenir un état d'alerte permanent est stressant et augmente la probabilité de commettre des erreurs ou de négliger des indicateurs clés. Réalisez que la réponse aux incidents cybernétiques est très stressante.
- Planifiezles communications hors bande. Les systèmes informatiques compromis pourraient bien inclure ceux que vous utilisez pour les communications internes (courrier électronique, chat, etc.), ce qui limiterait encore davantage vos capacités de défense. Prévoyez cette éventualité et investissez dans des moyens de communication de secours sécurisés. Ce n'est pas pour rien que les applications telles que Signal sont populaires.
- Priorisez laconfiance dans votre plan de reprise. Trop souvent, les plans de reprise des systèmes informatiques sont fondés sur une combinaison d'optimisme actuel et d'informations historiques inexactes. Il est temps de les dépoussiérer et de procéder à des simulations d'attaques, en particulier contre les systèmes critiques tels que le courrier électronique.
Si vous êtes une cible ou si vous êtes attaqué, nous vous aiderons gratuitement.
La mission de notre organisation est de rendre le monde plus sûr et plus juste. Nous nous y tenons. Si votre organisation est attaquée en raison de ce conflit, nous vous aiderons gratuitement.
Nous pensons que les capacités de détection et de réponse avancées sont parmi les plus importantes que les organisations doivent mettre en œuvre pour atteindre la résilience nécessaire pour résister à la génération actuelle de cyber-armes. Et nous pensons qu'en tant qu'industrie, nous devons utiliser les leçons apprises au fil des ans dans l'atténuation, la détection et la réponse aux incidents de Ransomware pour gérer le problème auquel nous sommes confrontés aujourd'hui - mais avec une urgence et une volonté de mettre en œuvre des atténuations, des contrôles, des capacités de détection et des réponses qui, autrement, auraient pu être considérées comme trop perturbatrices.