L'écosystème des ransomwares

Webinars

L'écosystème des ransomwares

97 vues

24-06-2021 rançongiciel, Ransomware, ransomwares, reco

View transcript

vu cette présentation moi je m'appelle pierre puis chercheur en cybersécurité au sein du laboratoire great de kaspersky notre principale mission c'est de détecter et d'analyser des attaques informatiques avancées souvent conduites à des fins d'espionnage ou de déstabilisation pour fournir les renseignements sur la menace et des techniques de détection à nos clients donc les rangs somewhere c'est pas notre domaine de prédilection mais devant la prévalence du phénomène on a aussi pris la peine de nous faire notre propre idée d' étudier quelques cadeaux propose aujourd'hui de faire une plongée dans l'écosystème des acteurs durant somewhere dans le cadre d'une série de présentations que nous faisons régulièrement sur ce sujet depuis à peu près deux ans maintenant depuis quelques années déjà les cyber criminels opérant des attaques de type rang somewhere ont tourné le dos à leurs cibles individuel historique pour s'en prendre à des organisations mieux doté en argent les entreprises avant les criminels faisait parvenir un mail malveillant au plus grand nombre d'individus en simultané et tabler sur la masse gigantesque de destinataires pour faire quelques victimes avec des montants de rançon assez faible à la portée d'un individu désormais des organisations entière de toutes tailles et de tous secteurs mais disposant de ressources financières sont coisy comme cible et les montants de rançons sont bien plus important les cybercriminels ont besoin de causer des dégâts substantiels pour rendre la rançon légitime en s'introduisant au préalable dans les systèmes d'information et en en prenant le contrôle donc les circulaires ils s'introduisent dans les réseaux d'entreprises en exploitant des vecteurs commun d'infection et d'intrusion comme une campagne de phishing ciblé sur entreprises ou encore une vulnérabilité technique au sein d'un service serveur exposé sur internet il recueille ensuite des informations sur l'environnement technique comme métier avoir des fichiers utile à un chantage ultérieure établissent un accès privilégié au sein du système haïti et passent à l'action lorsqu'ils sont convaincus de pouvoir provoquer des dommages importants dans de nombreux cas documentés et également ceux qu'on a étudié les criminels opèrent sur les réseaux des victimes pendant plusieurs semaines avant de déployer un grand sourire au moins au moment de ne pas l'action les cybercriminels ont donc une connaissance importante de l'activité de l'organisation au sein de laquelle ils se sont introduits et peuvent établir un montant de rang semble adapté à la cible des centaines de milliers d'euros voire des millions et nous savons parce que c'est indirectement indiqué ou publiquement communiqué que des cibles p ces montants colossaux maintenant que nous avons établi le contexte on va s'intéresser à l'organisation des cybercriminels qui mène des campagnes de rang somewhere et découvrir qu'il s'agit pas de petits groupes indépendants et autonomes conduisant l'ensemble de l' attaque mais de différents acteurs d'un écosystème établi unis par l'appât du gain alors quand il s'agit de business entre criminels la plupart des offres demande et échangent s'établit sur quelques grandes places de marché spécialisées du dark web même s'il en existe des myriades plus petit moins ambitieuse plus spécialisé pendant plusieurs mois on a étudié principalement trois grande place de marché en ligne où les cybercriminels qui mène des campagnes de rançon moyens établissent des liens et font commerce alors bien que ces places propose des centaines d'annoncés concentrer sur celles qui étaient à tester ou vérifié par des administrateurs et publié par des profils qui disposaient déjà d'une bonne notoriété ces lectures nous ont permis d'établir que les attaques par an software met en jeu différents acteurs au rôle bien distincts unis par une relation commerciale souvent désignée par le terme affiliation les places de marché accessible en ligne ne témoigne que d'une partie de cet écosystème grâce aux annonces de services de ventes de codes malveillants ou encore de recrutement le reste se passe entre individus et connaissances hors de tout affichage unique un des concepts principaux que l'on peut identifier sur ce type de plateforme et subi durant somewhere à ce service donc il s'agit en fait d'un programme d'affiliation ou des développeurs proposent des rangs somewhere à des opérateurs d iran les exploiter en échange d'un pourcentage de leurs rançons obtenues par les opérateurs alors on peut observer ici des exemples d'annonce d'affiliation ou des fournisseurs de rang somewhere proposent leurs produits à des opérateurs candidats qui deviendront affiliés afin que ceux-ci déploient les rangs somewhere fixent leurs propres chansons et en échange reverse 20 à 40% du montant de la rançon aux développeurs il est commun que les fournisseurs d'outils conserve 20 à 40% du montant de la rançon finale tandis que l'opérateur qui du coup déploient leurs rangs somewhere l'affilié conservera lui entre 60 et 80% du montant de la rançon alors l'écosystème durant somewhere il est relativement ouvert puisqu'il est disponible sur des places de marché sur le dark web mais il est objet de nombreuses précautions une des règles les plus communes que nous avons pu observer et celle de la restriction géographique les développeurs offrent des outils rang somewhere mais demande aux opérateurs de ne pas les utiliser dans certaines zones géographiques souvent celle où les développeurs sont basées parce que ça va leur éviter des poursuites locale bien sûr à la première transgression les opérateurs seront exclus de toutes transactions futures un acteur qui offre un service comme celui de l'outil ransomware lui-même procédera souvent a décrit plage et à des vérifications dans la prise de contact destinées à s'assurer que son interlocuteur n'est pas un officier de police où un agent de renseignement il interrogera par exemple son interlocuteur sur son origine son histoire sa connaissance du pays duquel il prétend provenir ses opinions politiques et recoupera évidemment en exploitant les réseaux sociaux sur les captures d'écran vous voyez un revendeur de rang somewhere pose des questions d'ordre social et politique sur la communauté des états indépendants donc la cis 9 des 15 anciennes républiques soviétiques auquel seul un membre de l'ex urss peut répondre le développeur acceptera aussi de travailler avec des affiliés anglophone si ceux ci peuvent prouver leur réputation vous fournir une caution pratique donc voilà on va essayer de plongée maintenant un peu plus en avant sur les différents rôles qu'on a rencontrés alors tout d'abord un grand nombre d' attaques cybercriminelles repose encore sur des réseaux de machines préalablement compromise qu'on appelle zombies ou bottes on parle de botmaster pour désigner un individu ou groupe d'individus dont le seul objectif est de compromettre des machines puis de maintenir un accès à celle ci est enfin de revendre les actions obtenues plus ou moins directement on parle de bossenay pour désigner l'ensemble des machines d'un botmaster les ordinateurs compromis peuvent être localisés partout dans le monde et appartenir à de très nombreuses organisations distinctes les compromissions de ces machines sont rendues possibles par des vecteurs d'infection commun et classiques comme le phishing l'invite au téléchargement sur des sites ou réseaux publicité préalablement compromis les vulnérabilités connues au sein de services serveurs ou équipements réseau et bien évidemment le brute de force sur des services exposés en ligne les votes master peuvent ensuite monétiser l'axé obtenus aux machines compromises de façon individuelle ou par tranches par ensemble de machines de plusieurs façons distinctes la première façon c'est sous forme d'infrastructure à ce service donc les machines compromises sont revendus comme de l'infrastructure c'est le cloud criminelle et elles sont utilisées par les clients les affiliés à des fins de criquetot manning comme proxy pour mener les attaques ou tout simplement comme espace de stockage pour de la pédopornographie des malwares peu importe ça peut être également revendu sous forme de creil - à ce service il s'agit ici de revendre des services qui sont basés sur les machines compromises et pas l'accès aux machines compromises directement par exemple on peut proposer un service de déni de service réseau distribué mené depuis les machines compromises et vendre ce service à l'heure ou à la minute de prestations de déni de service et enfin ces machines peuvent être aussi commercialisé sous 2 formes de malwares à ce service c'est à dire que le botmaster va proposer la distribution d'un code malveillant du choix de l'affilié sur l'ensemble des bottes qu'il détient voilà alors des exemples célèbres de botnets et émaux tête et rigolote par exemple le prix de vente de ses accès qu'ils soient directs ou indirects est de l'ordre de cinq chiffres donc ça peut paraître important mais compte tenu des montants qui circulent dans les écosystèmes criminels notamment ceux des rançons et considérant qu'il s'agit d'accès à plusieurs centaines de machines en simultané ou d'accès privilégié à des machines d'entreprise c'est relativement cohérent alors à l'ère du software as a service et du tout claude si vous pensez que des accès à des bottes sont dépassés vous n'êtes pas les seuls les criminels aussi depuis la fin des années 2010 l'évolution des cocistes m cybercriminels a vu apparaître un nouveau type d'acteur les revendeurs de compte il s'agit d'un individu ou d'un groupe d'individus toujours qu'il a encore exploite des vecteurs d'attaqué classiques comme le phishing le brute force ou des vulnérabilités technique pour obtenir des comptes d'accès qui sont associés à des entreprises ça peut être des comptes d'accès à de l'infrastructure cloud par exemple à des serveurs ou des services d'administration type rdp ou ssh à des accès vpn mais aussi des contes de services en ligne ou des ondes de domaine windows à l'occasion ses accès sont ensuite revendus sur des places de marché plus ou moins dédié qui dispose de sites internet d'ailleurs qui peuvent être conventionnelle ou sur le dark web ici un exemple de telle revente ou un revendeur propose des contes windows avec accès rdp pour une entreprise aux états unis du secteur de l'énergie qui génère 16 millions de dollars de bénéfices par an et ses comptes sont revendus pour quelques dizaines ou centaines de dollars alors nos analyses statistiques chez kaspersky constate depuis 2010 9 une augmentation assez drastique de tentatives d' attaques menées contre les serveurs rdp exposé sur internet alors qu'il s'agisse de temps natif de bruit de force comme d'exploitation vulnérabilité effectivement c'est un moyen phare de constitution d'accès pour les revendeurs de compte avec l'avènement du télétravail précipité parfois par la pandémie mondiale coville 19 le bruit de force sur serveur rdp est devenu un sport international pour les cybercriminels comme en témoignent nos statistiques sur le sujet on peut d'ailleurs noter que malgré la sortie de crise comme ils disent neuf qu'on espère être en train de traverser la tendance n'est toujours pas baissière et ça peut signifier que la tendance n'est pas liée spécifiquement aux qu'ovide mais plus globalement témoigne d'une adaptation des criminels permanente au système a été répartie et aux modes de travail moderne alors une des catégories d'acteurs principale des attaques par an somewhere ce sont les opérateurs les opérateurs exploitent des accès obtenu par une transaction auprès de bottes master ou de revendeurs de compte afin de s'établir dans le réseau d'une cible susceptibles de disposer d'assez de fonds pour payer une rançon puis enfin des poires en software qui n'ont pas conçu eux mêmes les opérateurs ne cible pas spécifiquement une entreprise donnée en amont il s'agit plutôt d'une conjonction d'opportunités il faut d'abord une cible susceptibles de payer un montant suffisant un accès efficace à cette cible est un grand saut vers qui fonctionne offert par un service qui ne prélèvera pas plus que ce que la rançon rapportera aux opérateurs les opérateurs exploitent des techniques là aussi conventionnel d' attaque informatique en fait assez proche de celle qu'on trouvera pour des attaques informatiques à des fins d'espionnage mais la plupart du temps en exploitant toutefois des outils qui sont publiquement accessibles open source ou commercialisés telles que global strike par exemple les opérateurs ne développe en général pas leur arsenal mais maîtrisent très bien les approches d'intrusion l'objectif c'est de pouvoir déployer le rang somewhere le plus efficacement possible alors il s'agit bien sûr d'obtenir des privilèges élevés dans un domaine with windows associé à l'organisation ciblée puis de déployer un rang software sur le maximum de machines idéalement les opérateurs s'assure que les sauvegardes sont également affectés par leur ensemble mourir lorsque c'est possible et puis régulièrement les opérateurs peuvent prélever des données pendant l'heure visite afin de disposer d'un levier de chantage supplémentaires lors de la demande de rançon comprendre comment une entreprise fonctionne sur le plan haïti comme sur le plan métier peut s'avérer très compliqué de l'extérieur surtout quand on parle pas la langue de l'organisation ciblée et à ce moment là des analystes proposent leurs services basés sur des données collectées par les opérateurs et peuvent ainsi aider à établir un chantage efficace tout comme un ensemble un montant de rançon spécifiquement adaptée au contexte de la cible les développeurs fournissent les rangs sourire et se sont l'autre acteur crucial de l'opération nous l'avons évoqué plus tôt ceux ci sont plutôt fournie sous forme de service d'affiliation afin que les développeurs maîtrisent mieux la part du gâteau obtenu que sous forme de code source des exemples bien connu deux groupes de développeurs sont ryuk netwalker revil ou dark side ils offrent tous la même fonction de base rendre les données de la cible inaccessible par un chiffrement robuste certains offrent davantage de fonctionnalités que d'autres risques peut par exemple réveiller des ordinateurs et un du réseau grâce à des trams ou et qu'au-delà darkseid visent en particulier des fichiers qui contiennent des disques durs de machines virtuelles dans le cas des attaques de type big game one thing le secret de chiffrement souvent protégés par un dispositif de cryptographie asymétrique est embarqué dans le rang software et aucune communication avec un serveur de commande et contrôle n'est nécessaire toutefois dans le cadre des programmes d'affiliation type transformera de service les développeurs peuvent intégrer un mécanisme de communication rend software afin tout simplement de comptabiliser les opérations menées par les opérateurs est de s'assurer que il touche bien une part de rang sont attendus pour chaque opération effectuée alors certains développeurs vendent directement des codes sources ou type de génération de rang savent rire quand même plutôt qu'un leader brut donc comme dans le cas des affiliations en sommet à deux services de telles offres s'établissent pour un montant variant entre 300 et 5000 $ alors les offres peuvent proposer un support en option qui vise à assister l'acheteur dans l'utilisation du produit ou encore des tests qui vise à assurer que le rang software généré n'est pas détectée par certains antivirus c'est une façon d'intervenir qu'ils nécessitent peu d'engagement et assure un revenu direct qui n'est pas fonction des rançons payées ultérieurement contrairement au modèle de l'affiliation et duranceau meraz au service mais c'est une approche qui rapportent peu parce qu'une fois que le kit est vendu ou que le code source durand software et diffuser évidemment il est tout simplement copié et repris sans paiement on parle quand même d'organisations criminelles il fallait pas s'attendre à ce que il achète une licence à chaque fois alors on l'a vu juste avant des opérateurs peuvent acheter directement un kit de génération de rang software ou un code source plutôt que de souscrire à un mécanisme d'affiliation et d'avoir à reverser une part de la rançon aux développeurs il reviendra alors au testeur de s'assurer que leur ensemble hier générer ou compilé fonctionne et n'ait pas détecté au moins le temps de la tacc alors les rangs somewhere même les plus récents et sophistiquée finissent toujours par être détectées par un antivirus conventionnel mais malheureusement il arrive que l'innovation des développeurs combiner un paramétrage un peu laxiste des produits de détection permettent à un grand sourire de fonctionner au moins partiellement chez une cible donnée sans détection pendant quelques heures et ça malheureusement c'est suffisant pour un d alors lorsque le rang somewhere est déployée par les opérateurs le chiffrement commencer la cible perd le contrôle de son moyen de production haïti les acteurs du support la plus ou moins proche des opérateurs prennent alors le relais pour les échanges avec la cible visant à faire pression à gérer le paiement de la rançon et éventuellement à gérer l'opération de déchiffrement et enfin pour finir on peut citer un dernier rôle qui est plus classique dans le monde de la criminalité en général c'est celui des blanchisseurs ceux là ont pour fonction de blanchir l'argent collecté des rançons afin de le rendre utilisable ensuite dans la vraie vie et surtout en complexifiant la découverte de sa provenance est alors voilà on a ainsi une représentation générale de l'écosystème avec l'ensemble des rôles et relation exposé alors ses rôles dans la réalité ils peuvent être couverts par des individus et groupes d'individus distincts ou non en fonction des cas dans la vaste majorité des cas on distingue au moins et fournisseurs d'accès les développeurs et les opérateurs l'ensemble des autres briques en fait elles peuvent être combinées avec un de ces trois acteurs ces acteurs ils sont financièrement dépendants les uns des autres et d'écosystèmes et suffisamment découpé pour qu' il soit difficile d'attribuer une attaque données sur un site donné à un ensemble cohérent et stable d'individus reste la question du commanditaire qui décident de mener une attaque par an software contre une cible donnée eh bien on l'a vu en fait en décrivant les différents acteurs et aussi surprenant que ça puisse paraître il n'y a pas forcément de décideurs en ce sens là les opérateurs men l'intrusion et déploient leurs rangs somewhere mais le font parce que les opportunités d'accès qu'ils ont achetés auprès de revendeurs d'accès et leur affiliation avec des développeurs offrent une possibilité rentable ils n'ont pas décidé à priori de s'en prendre spécifiquement à une cible donnée et de déployer sur cette cible donnée ensuite tous ses acteurs il faut voir qu'ils sont financièrement dépendantes donc peu importe qui est ciblé l'important est que chacun recueille une part de la rançon et tous ont une motivation égal à ce que les opérations teemu s'est aperçue de l'écosystème il nous indique aussi que quand on rend software frappe inutile de se concentrer sur l'intrusion dans un premier temps puisque les opérateurs seront vraisemblablement là depuis longtemps peut-être plusieurs mois c'est l'ensemble des pratiques de sécurité qu'il faudra revoir après avoir traité l'urgence on y reviendra ensuite mettre hors d'état de nuire un seul élément de l'écosystème n'est évidemment pas suffisant pour arrêter tout le phénomène c'est pas une chaîne et tous les éléments sont redondants il ya plusieurs acteurs pour chaque rôle et chaque fonction donc un autre acteur prendra rapidement la place si un élément est stoppé et enfin le découplage du modèle fait que chaque acteur de connaît finalement qu'un ensemble limité des autres et par relation internet uniquement dans de nombreux cas donc la cartographie d'individus et de l'écosystème sur la simple base d'une seule arrestation est impossible alors pour ceux qui en douteraient toujours on peut se demander à quel point une attaque par an sommaire et sérieuse pour une organisation ciblées et bien l'université de tempel aux états unis a mené une étude basée sur la collecte d'informations publiques et des interviews sur des cadrans somewhere de 2013 à 2021 ils ont enregistré 7 147 cas et pour chacun des cas hausse était possible environ 200 ont noté le montant de la rançon et en regardant les résultats vous pouvez tenter de vous dire ça va je peux mentir et à cinquante mille dollars de rançon c'est moins cher que le salaire chargé d'un ingénieur et bien si vous vous dit ça réfléchissez encore d'après la même source depuis 2010 9 le montant de rançons demandées aux entreprises tentent accroître significativement et en 2020 dès 2020 statistiquement le montant de la rançon à de plus grandes chances d'être un million de dollars si ça c'est toujours moins cher que le salaire vos ingénieurs bon ben on en discute après je peux être intéressés pour travailler chez vous quelques autres statistiques intéressantes sur l'avenir des organisations qui payent des rançons notamment d'abord d'après une étude propre que nous avons menée auprès de 15 mille clients en 2020 56% des cibles de rançon - ont payé la rançon 29% seulement de ses cibles qui ont payé ont récupéré l'intégralité de leurs données à l'issue du paiement moins d'un tiers 13 % n'ont rien récupéré du tout si vous payez aucune garantie que vous obteniez le résultat attendu d'après une étude menée par l'institut sensus wade cette année 80 % des organisations qui ont payé une rançon ont subi une nouvelle attaque de rang sommaire ensuite bien sûr si vous êtes bons payeurs il est évident que les criminels seront tentés de recommencer contre euro et enfin le record actuel connu pour un montant de rançons payées s'établit à 40 millions de dollars il s'agit d'un assureur américain qui l'a révélée publiquement et on continue maintenant avec quelques exemples de rang somewhere revil d'abord qui est un exemple emblématique du big game hunting c'est un grand sourire à ce service il est promu sur des places de marché depuis 2010 9 et son premier fait d'armes date d'avril 2010 9 après la fin du précédent et célèbre grand crabe les opérateurs affiliés sont ceux qui ont demandé les rangs sont les plus élevés en 2021 le montant est établi en fonction des bénéfices annuels de l'organisation cible et les opérateurs conserve entre 60 et 75 % du montant fait ça dépend du nombre de déploiements qui font la crypto monnaie monroe est utilisée pour les paiements et d'après une interview d'un prétendu représentants de réville parent youtuber russophone en 2020 revil aurait généré 100 millions de dollars pour les criminels en 2020 les développeurs ont régulièrement amélioré la fiabilité durant somewhere tout en faisant le maximum d'efforts pour qu'ils soient pas détectées avant chaque opération le 18 avril 2021 les développeurs qui assure une communication régulière sur leurs produits annoncé qu'une version ciblant des systèmes unix était en cours de qualification sur le plan technique revil exploite l'algorithme de chiffrement symétrique salsa va aux chiffres et les fichiers avec des clés unique elle même protégé par un chiffrement asymétrique le rang somewhere il est paramétrable et dispose d'une configuration chiffrés pour adapter son activité revil termine des processus jugé gênant avant son exécution comme comme des processus d'antivirus pour éviter sa détection exfiltre des informations sur l'ordinateur cible et chiffré fichiers locaux comme ceux accessibles sur les partages réseaux les opérateurs exploitent essentiellement des accès rdp compromis des campagnes de phishing et des vulnérabilités logicielles pour déployer de rang sommaire les développeurs dréville ne travaille qu'avec des opérateurs russophone qui peuvent démontrer d'une expérience à l'intrusion chez des cibles d'intérêt les opérateurs de réville ont innové en appelant des partenaires et des cibles visées et des journalistes pour indiquer les attaques en cours et faire ainsi pression supplémentaire sur les victimes ou encore en conduisant parallèlement des attaques en déni de service distribué sur les cibles des rançons bref les opérateurs dréville font partie de ceux qui utilisent le chantage à la divulgation données copiées pour encourager le paiement des rançons lorsque la victime ne paie pas la rançon les opérateurs publie les données exfiltré souvent choisie pour être particulièrement sensible pour la cible les opérateurs disposent d'un site oignons donc leurs torts dédié à leur communication ce qui est assez fréquent désormais nommés à ptitblog la pratique de chantage aux données s'est largement répandu depuis revil alors on peut parler de notre exemple qui est celui de bab eu qu un autre rang software as a service découvert début 2021 et objet de nombreuses campagnes les développeurs de ma bulle propose le rang somewhere sur des places de marchés russophones et anglophones les développeurs de buc restreignent l'usagé leur ensemble hier hors de la chine du vietnam de chypre de la russie et et pays la cis mais interdisent aussi l' usage contre les hôpitaux associations et entreprises de revenus inférieurs à 30 millions de dollars par an les opérateurs cible ainsi principalement de très grandes entreprises en europe aux etats unis en océanie quel que soit leur secteur d'activité les opérateurs qui sont candidats à la filiation avec les développeurs de bab uc sont soumis à des vérifications de compétences avant affiliation notamment concernant leur capacité à s'introduire dans des environnements virtualisés le 26 avril le département de police de washington dc aux états unis a confirmé avoir été la cible d'une attaque informatique revendiquée par babic sur son site hors dédié les opérateurs bab uck auraient exfiltré 250 gigaoctets de données incluant notamment des emails et le département de la police disposait de trois jours pour entamer les négociations où les opérateurs publierait les données copiées à des grands criminels d'après des extraits de conversation publiée par des opérateurs de luxe sur internet le département de police de washington a tenté de négocier proposé 100 mille dollars pour que les données ne soient pas exfiltrer et malheureusement le montant n'a pas convenu aux agresseurs qui ont débuté la distribution des données explique très courant mais dont un certain nombre d'e-mails qui ont ensuite permis à des journalistes de faire des articles relativement à charge contre la police de washington en parallèle toutefois les développeurs de bavures qui avait annoncé fin avril que le rang software ne seraient plus commercialisés après l'attaqué du département de police de washington dc et qu'ils envisageaient de publier leurs outils sous une forme proche de l'open source alors aussi étonnant que ça puisse paraître cette situation s'est déjà produite dans le monde si un criminel notamment au code malveillant bancaire cerberus qui vise android dont le code a été publiée l'année dernière et qui a provoqué ensuite une recrudescence de l'exploitation puisqu'il était librement accessible même si l'écosystème ans au moins et les modèles races présentes et représentent la majorité des organisations impliquées dans de telles attaques il ya quand même des cas particuliers comme des groupes qui n'ont pas recours aux annonces sur des places de marché c'est le cas par exemple des opérateurs de riz uck dont nous on peut observer qu'il avait eu accès à une partie des cibles du malware trick bottes signifiant certainement qu'une coopération directe exister entre les opérateurs des deux outils un autre cas très particuliers que nous avons rencontré l'année dernière a suivi de lazarus un acteur malveillants connus pour des attaques informatiques de déstabilisation de détournement de fonds ou d'espionnage et associés par la communauté cybersécurité à la corée du nord en 2020 on a étudié deux cas d' attaque parents somewhere dont le code de rang somewhere appelé vhd n'avait jamais été observé auparavant se rend somewhere intégrer des directement dans son code d adresse réseau et mots de passe de comptes légitimes des organisations cibler ce qui est très inhabituel mais utilise également un mode de distribution peu commun sur le réseau et peu efficace qui exploitaient les mécanismes de brute force grâce à une intervention de réponse à un incident dans un des cas étudiés on a pu déterminer que les attaques c'est un les attaquants s'étaient introduits sur le réseau en exploitant plusieurs vulnérabilités d'abord au sein d'une passerelle vpn pulse pas à jour puis sur un serveur interne sharepoint pas à jour non plus après avoir élevé leurs privilèges sur ce serveur interne grâce à une ligne rapide et technique les attaquants obtenu des privilèges d'administrateur de domaines et ont déployé un code malveillant offrant des possibilités de contrôle à distance puis enfin ont distribué leurs ans au moins et on a pu découvrir que ce code malveillant utilisé pour le contrôle à distance et puis pour le déploiement du rang sur mer n'était autre que mata une trousse à outils modulaire est relativement sophistiqué exploiter exclusivement par lazarus l'ensemble de l'opération de l'intrusion initiale jusqu'à l'exécution durant software sur tout le parc s'est déroulé en moins de douze heures et sans le témoigner d'un besoin urgent pour lazarus de collecter de l'argent alors qu'est-ce que je peux faire pour éviter ça alors d'abord le succès des attaques par an somewhere août l'apparition d'un écosystème criminels professionnaliser en la matière est rendue possible par trois problème systémique majeur et séquentielle chacun n'existant que grâce aux précédents mais tous étant responsable de la poursuite du phénomène de l'ordre premier problème le niveau de cybersécurité des organisations qui dépendent de systèmes haïti c'est à dire tout est extrêmement insuffisant les opérateurs grands sommets en exploits pas devenir habilité sophistiqués ils exploitent des vulnérabilités connues il exploite pas technique discrète innovantes ils ont pas d'arsenal inconnu et exclusif il exploite des vulnérabilités connues sur des biens et i qui ne sont pas à jour il exploite des mots de passe faibles la crédulité des employés l'absence de sauvegarde l'absence de cloisonnement haïti c'est trop facile et ça rapporte gros alors le rang sommaire est naturellement un phénomène courant soumis à une dynamique haussière deuxième problème des cibles pay pay et n'offrent aucune garantie de recouvrer les données chiffrées mais surtout payé finance le développement du phénomène et donc sa continuité à minima mais l'amélioration son efficacité et la prolifération de ces acteurs surtout comme on l'a vu grâce aux études quantitatives juste avant c'est aussi quatre chances sur cinq d'être soi même cible est à nouveau si on paye payer c'est donc littéralement financer sa propre perte en plus de celles des autres et assurer la continuité du phénomène troisième problème le phénomène d'errance au maire n'a pas été pris en compte par les autorités politiques judiciaires et les forces de l'ordre assez tôt et ses conséquences ont été pour le moins ignoré ou sous-estimé pendant longtemps ce qui a permis aux deux premiers problèmes d'offrir aux criminels toutes les opportunités de développement nécessaires pour éviter le rang somewhere à l'échelle d'une organisation il n'y a pas de secret il faut travailler sur le premier problème est accordée en fin au système haïti un niveau de protection à la hauteur des enjeux qui détiennent la pandémie mondiale a commis dix neuf à rappeler à ceux qui l'ignoraient encore à quel point les systèmes high qui sont vitaux à toute activité c'est la seule solution n'y a pas de miracle ça coûte du temps de l'argent un effort et à capacité égale pour une organisation ça implique de ralentir d'autres projets d'autres développent mais rappelez-vous des montant des rançons ou des conséquences possibles ensuite pour les mâles en cas de non paiement dans les deux cas les effets négatifs sont inacceptables malgré ses efforts et en cas de succès d'une attaque par an soit évidemment ne pas payer déconnecté des systèmes isolé en îlots des systèmes ou sites qui n'ont pas été affectés mieux vaut arrêter des six quelques jours pour les protéger en reprendre le contrôle que de risquer de les perdre définitivement mettre en oeuvre des plans de continuité d'activité qui considèrent l'interruption des moyens haïti donc il faut les préparer avant évidemment pour maintenir l'activité vital ensuite reconstruire à l'aide de sauvegarde sur des systèmes s'est déconnecté isolé autant que possible et enfin faire identifier et traiter les vulnérabilités du système initialement affectés qui ont permis la l'intrusion avant de reconnecter ce qui a été reconstruit au delà de l'aspect technique le risque d' attaque parents somewhere justifie à lui seul aujourd'hui de prendre des mesures de transfert de risque type assurance ou de constituer des fonds d'urgence alors certainement pas pour payer leur ensemble mais pour disposer d'un coup de pouce financier lorsqu'il faudra traiter un cas enfin pendant une attaque par an somewhere la communication est crucial pour ne pas laisser la pression provoquée par les attaquants contrôler le discours il faut communiquer aux actionnaires aux employés aux partenaires avec la presse et aux autorités la taxe sera de toute façon révélée par les attaquants et au passage de paiement de la rançon aussi sur le plan de la prévention protection aux détections quelques mesures élémentaires à mettre en oeuvre a minima d'abord évidemment la mise à jour ios vpn logiciel continue et rapide cg maîtriser le parc ait il est bien associé et d'avoir des capacités de déploiement logiciel là on travaille sur le vecteur initiale puisque l'exploitation vers habilité sur des équipements non à jour et commune pour obtenir des accès ensuite la sensibilisation des employés alors sensibilisation au phishing sensibilisation au signalement en cas de découverte d'incidents et sensibilisation à des gestes de premiers secours pourquoi pas ça veut dire à prendre à l'employé à pouvoir réaliser des déconnexions du relance il constate que il est victime d'un dard ans au moins on va travailler aussi évidemment au déploiement de solutions protection des postes de travail et serveurs d antivirus 1 il ya des solutions gratuit qui existe comme kaspersky en tirant soeurs ware toul évidemment ils suffisent pas mais ils sont toujours nécessaires l'isolation du réseau et des accès qui est une mesure importante qui va permettre une fois qu'une attaque a réussi d'empêcher la propagation à l'intérieur du réseau et donc de rendre très difficile un déploiement dans somewhere massique la supervision des postes de travail et des serveurs il va s'agir de monitorer des journaux d'événements pour détecter la progression de l'attaquant avant qu'il est temps de déployer en ce moment crucial les plans de continuité d'activité qui considèrent l'indisponibilité de l'été ça veut dire comment je travaille à maintenir des activités vitales même si mon assise ne fonctionne pas ce n'est pas un problème qui est un problème de dsi qui a un problème exclusivement haïti c'est un problème qui nécessite une cartographie de métier un choix sur les activités vitales mais c'est un problème qui sera supportée par haïti évidemment puisqu'il pourra s'agir de mettre en place des sites secours et de reconstruction qui sont indépendants du sii visé est bien sûr les sauvegardes qui doivent être faites de façon enfin stockés de façon déconnecté pour ne pas être aussi affecté par les rangs somewhere mais surtout qu'ils doivent faire l'objet de tests réguliers la sauvegarde c'est le seul recours en cas de succès de rang software mais on n'a pas envie de découvrir pendant la taxe si ça fonctionne et pour terminer un petit peu d'espoir peut-être donc la fête continue on constate encore des cas très régulièrement médiatisées c'est le cas avec colonial pipeline récemment aux états unis donc a été la cible durant sommaire dark side qui a payé une rançon de cinq millions de dollars et l'intrusion qui a permis le déploiement durant ce sommet a été permise grâce à l'obtention d'un mot de passe de vpn heureusement pour coloniale 'pipeline' les autorités américaines judiciaire est en tout cas les forces de l'ordre ont réussi à saisir les fonds du montant de la rançon est allé récupérer alors entre temps avec la fluctuation de la valeur des crypto mode et malheureusement colonial pipeline n'a évidemment pas récupéré tout l'argent qu'il a investi pour payer la rançon donc la fête continue mais la carac la cavalerie arrive entre guillemets sous différentes formes et témoigne d'une prise de conscience des autorités que le phénomène est devenue systémique est important différentes initiatives des coopérations entre acteurs privés et forces de l'ordre on peut citer no more en somme où les travaux d'interpol des opérations policières de démantèlement on peut citer mot tête récemment l'opération a été conduite par europol avec la contribution de nombreux pays européens là il s'agit de démonter des botnet qui commet là buteur ne sont qu'un élément mais néanmoins ça reste de l'action concrète des préparations de législation il ya des réflexions en ce moment aux états unis pour rendre le paiement de rançons illégal de l' entrave aux flux financiers soient des sanctions soient dessaisis est enfin très récemment il ya deux jours suite à une réunion des ministres de justice et l'intérieur de l'union européenne et des états unis la décision de mettre en place un groupe de travail conjoint états unis et l'europe qui implique des actions de poursuites et de sensibilisation j'en ai terminé avec cette présentation fut désolé j'ai légèrement dépassé je veux bien pendant 2-3 de trois minutes supplémentaires pour qu'on puisse observer aux questions je vais juste regarder s'il y en a tout simplement voilà les gens voient pas dans la boîte je ne sais pas si vous en avez posé malheureusement j'ai peut-être un souci d'affichage mais je vois pas de questions question vpn alors monsieur péno le but premier des rançons mère est alors financier pas de collecte de données alors oui le but premier des rangs somers et faire de l'argent voilà c'est ben globalement le cas pour toutes les activités cybercriminelles c'est le moteur principal de l'activité cybercriminelle faire de l'argent la collecte des données elle et elle est venue comme un accessoire à auch chantage en fait dire que les opérateurs d'attac de rance horaires sont rendu compte que si piqué des données qui menaçaient de les révéler bah les cibles payer mieux les rançons ce qu'elles auraient très peur d'avoir ce type de révélations il ya t'il un moyen de voir si les identifiants de l'entreprise ont été divulgués oui il y en a plusieurs alors c'est pas exhaustif ça c'est clair mais il ya des services qui existent qui sont proposées par des éditeurs spécialisés qui propose tout simplement de fouiller sur le dard web ou de fouiller dans des bases de données qui sont mises à disposition ont publiquement dans lequel on va trouver des comptes compromis donc à spurs qui propose notamment des services de ce type là bon ce qu'il faut voir c'est que quand même au moment où elles sont publiées revendu entre guillemets c'est déjà trop tard les accès ont été obtenues donc ça veut dire que quelqu'un a trouvé un moyen de collecter des accès légitime dans votre entreprise ou voir voir c'est déjà introduit dans le réseau et il ya déjà pris position dans votre réseau existe-t-il des têtes vers les systèmes vmware oui spécifiquement c'est le cas de darkseid dont a été victime colonial pipeline qui visent spécifiquement des disques durs de machines virtuelles voilà c'est tout ce qu'il advient des données menacés publiée lors d'un chantage à la divulgation la publication est elle souvent à être mise à exécution oui alors dans le cas de la police de washington notamment c'est le cas on en fait c'est le moyen indirect qu'on a aujourd'hui c'est divulgation de données pour voir si des cibles ou pas payer de rançon en général les acteurs qui ont recours au chantage à la donne est tout simplement informe qu'ils ont obtenu des données mettent des extraits à disposition sur internet est alors sur plutôt sur le parc web et mettre un compteur pour lancer les négociations entre guillemets si la victime ne paye pas avant l'échéance du compteur les données sont révélées alors soit directement sur ces mêmes sites soient elles sont revendus sur le dark web puisque l'objectif du rance au maire à la base c'est de faire de l'argent si la victime a pas payé la rançon ba l'opérateur en dernier recours et peut essayer de revendre les données qu'il a collectés alors ça je peux pas répondre j'ai l'impression que c'est un petit peu je souscris un vpn plusieurs sites e-commerce le détecte et refuse la transaction c'est pas clair pour moi je suis désolé je comprends pas la question les serveurs linux de vient-il des cibles privilégiées est-il utile de les protéger en intranet alors on peut pas dire que c'est des cibles privilégiées ce qu'on peut dire c'est que effectivement on a des preuves notamment de la part de développeurs et ville qu'il ya un intérêt pour le déploiement de rang sur mer qui vise ses serveurs en particulier darkseid dispose de version qui visent spécifiquement linux des environnements de virtualisation peuvent être des prêts déployés sur des hôtes linux il sent que ce soit devenu une tendance majeure ça existe donc effectivement c'est utile de les prendre en compte aussi dans le modèle de risque d'augmentation des taxes au nord ouest alors le lien finalement entre les crypto monnaie et lille avec des rangs somewhere je ne sais pas si on peut établir un lien de causalité mais il est clair que les deux phénomènes ont progressé en même temps les crypto money offre aux criminels offre plein d'autres choses mais au criminel elle offre quand même un moyen de masquer plus facilement les transactions et la provenance la source de finalement des rançons payées maintenant c'est pas efficace à 100 % loin de là et la preuve puisque les autorités américaines sont parvenues dans le cadre colonial pipeline a remonté ce flux financiers et a récupéré sept 7 ans en en faisant des saisies donc réussi à remonter assez loin dans la chaîne de propagation de des transactions de la rançon alors qu'en même temps qu'à spurs qui peut mettre à disposition une équipe pour aider en cas d' attaque en zéro temps voilà alors après ça dépend d'où vous êtes localiser quelle est la nature de l'attaqué est évidemment c'est pas la croix rouge donc ça ne dépend aussi du monde pouvait y mettre mais kaspersky dispose d'une équipe d'un cert en fait là privé qui peut intervenir en cas d' attaque quand ses collègues refusent un paiement en disant que j'étais tout vpn alors la relation entre le vpn et le e-commerce jeu peut pas établir de lien là avec le sujet des rangs somewhere mais c'est tout à fait possible que des sites de et comme de e-commerce en fait en fonction de la provenance de avec lequel vous visitez le site le site de e-commerce donc loupé l'adresse ip avec laquelle vous venez visiter le site peut avoir une politique qui simplement refuse les connexions provenant deep et de vpn pourquoi parce que les vpn sont aussi utilisés par des criminels pour masquer leurs activités en ligne pour rendre plus difficile l'attribution de leurs activités dont un certain nombre de sites de e-commerce qui face à des tentatives d'attaqués informatiques contre eux décident de bloquer ces adresses ip [Musique] y at il des groupes criminels aux us et en europe occidentale on part toujours de rssi celui etc c'est vrai on peut pas nier le phénomène un grand nombre d'acteurs associé à l'écosystème ans au maire sont russophones donc ils sont beaucoup situées dans des pays de l'europe de l'est historiquement c'était c'étaient des criminels issus des pays d'europe de l'est qui montaient les botnets bon en fait c'est une extension naturelle de leurs activités vers le rang sommaire qui fonctionne mieux et rapporte plus est-ce qu'il y en a ailleurs il y en a ailleurs on a trouvé notamment en amérique du sud en europe je sais pas dire non on le sent il y à des contributeurs ça c'est certain mais dans le cas des moquettes par exemple le dès qu'il ya encore des opérations policières en cours pour identifier des des acteurs qui ont contribué à ce botnet et il ya des pays d'europe qui effectivement feront l'objet d'arrestations voilà bon je vois plus de questions défilent et donc comme on a déjà dépassé un petit peu je vous propose d'arrêter là je vous remercie encore une fois pour votre participation contre votre contribution et vos questions et je vous souhaite un excellent après midi merci beaucoup et à bientôt sous cette forme ou une autre