Attaque de ransomware à grande échelle évitée par des experts en sécurité
Une entreprise anonyme était sur le point de devenir le dernier titre négatif et de subir une attaque de ransomware majeure, mais les chercheurs en sécurité ont réussi à éviter la crise à temps.
ZDNet a rapporté l'incident, qui impliquait une grande entreprise faisant appel à des experts en sécurité de Sophos, après la découverte d'un grand nombre d'instances Cobalt Strike installées sur les ordinateurs de l'entreprise. À première vue, cela peut ne pas ressembler à quelque chose de suspect, puisque Cobalt Strike est à l'origine un outil de test de pénétration légitime. Cependant, au cours de l'année écoulée, Cobalt Strike a également augmenté dans les cercles de cybercriminels.
Après que la société a initialement intégré Sophos pour enquêter sur l'apparition de CobaltStrike sur le réseau, les chercheurs en sécurité ont découvert que l'ensemble du réseau était en cours de travail et préparé pour une attaque de ransomware à grande échelle.
Les criminels prévoyaient d'utiliser le ransomware REvil et de faire autant de dégâts que possible, en cryptant les données en masse. Heureusement pour le client de Sophos, les chercheurs en sécurité ont réussi à repérer les efforts en cours pour préparer le réseau à la charge utile du ransomware et ont réussi à éviter de plein fouet l'attaque.
Seul un petit nombre de systèmes et d'appareils non protégés étaient cryptés, mais cela n'a eu aucun impact significatif sur l'entreprise. Les criminels à l'origine de la tentative d'attaque ont laissé une demande de rançon sur les quelques appareils qu'ils ont chiffrés, et la demande de rançon s'élevait à 2,5 millions de dollars. Bien sûr, étant donné que l'attaque à grande échelle a été déjouée, rien de tout cela n'a été payé.
Ce que ZDNet et l'enquête de Sophos soulignent, cependant, c'est que les mauvais acteurs à l'origine de l'attaque ont réussi à introduire le logiciel légitime d'accès à distance ScreenConnect sur plus d'une centaine de machines de l'entreprise sans que personne ne le remarque et ne sonne l'alarme.
Le responsable de l'équipe Sophos Rapid Response, Peter Mackenzie, cité par ZDnet, a déclaré que le moyen le plus courant pour les acteurs de la menace de prendre pied sur un réseau consiste généralement à hameçonner les utilisateurs ou à exploiter des vulnérabilités VPN ou des systèmes sur lesquels l'authentification multifacteur n'est pas activée. sur leurs VPN.
REvil, le logiciel de rançon qui a failli frapper l'entreprise sans nom lors de cette heureuse tournure des événements, a également été utilisé avec succès contre JBS - le plus grand producteur américain de bœuf et de porc frais, et dans le cas de JBS, l'entreprise n'a pas eu cette chance. Le gang de ransomware à l'origine de cette attaque a réussi à soutirer 11 millions de dollars à JBS.
Mackenzie a également donné quelques conseils sur la sécurité, y compris ce que l'industrie de la sécurité dans son ensemble a essayé d'enseigner aux entreprises et aux entreprises. Les principales recommandations incluent le maintien à jour des logiciels de sécurité installés et gérés à partir d'un hub centralisé sur tous les périphériques réseau et la mise à jour de chaque système avec les derniers correctifs pour tous les logiciels qu'il exécute.
