Le gang de rançongiciels LockBit s'est caché dans un réseau du gouvernement américain pendant des mois

  • Principal
  • Nouvelles
  • Le gang de rançongiciels LockBit s'est caché dans un réseau du gouvernement américain pendant des mois

Une agence gouvernementale régionale américaine compromise avec le rançongiciel LockBit avait l'acteur de la menace sur son réseau pendant au moins cinq mois avant le déploiement de la charge utile, ont découvert des chercheurs en sécurité.

Les journaux récupérés des machines compromises ont montré que deux groupes de menaces les avaient compromises et étaient impliqués dans des opérations d'accès à distance et de reconnaissance.

Les attaquants ont tenté de couvrir leurs traces en supprimant les journaux d'événements, mais les parties des fichiers qui restaient ont permis aux analystes des menaces d'examiner l'acteur et ses tactiques.

engagement initial

L'accès initial qui a permis l'attaque était un élément de protection qu'un des techniciens de l'agence a laissé hors service après une opération de maintenance.

Selon des chercheurs de la société de cybersécurité Sophos, l'acteur a accédé au réseau via des ports de bureau à distance (RDP) ouverts sur un pare-feu mal configuré, puis a utilisé Chrome pour télécharger les outils nécessaires à l'attaque.

La suite d'outils comprenait des utilitaires pour la force brute, l'analyse, un VPN commercial et des outils gratuits permettant la gestion de fichiers et l'exécution de commandes, tels que PsExec, FileZilla, Process Explorer et GMER.

De plus, les pirates ont utilisé des logiciels de bureau et d'administration à distance tels que ScreenConnect, et plus tard dans l'attaque, AnyDesk.

À partir de là, les attaquants ont passé du temps à se faufiler inaperçus, essayant seulement de voler des informations d'identification de compte précieuses pour étendre leur compromission du réseau.

À un moment donné, ils ont arraché les informations d'identification d'un administrateur de serveur local qui disposait également des autorisations d'administrateur de domaine, afin de pouvoir créer de nouveaux comptes avec des privilèges d'administrateur sur d'autres systèmes.

le jeu

Dans la deuxième phase de l'attaque, lancée cinq mois après la compromission initiale, il semble qu'un acteur plus sophistiqué ait pris le relais, amenant Sophos à supposer qu'un acteur de plus haut niveau était désormais en charge de l'opération.

'La nature de l'activité récupérée à partir des journaux et des fichiers d'historique du navigateur sur le serveur compromis nous a donné l'impression que les attaquants qui ont pénétré le réseau en premier n'étaient pas des experts, mais des novices, et qu'ils ont peut-être ensuite transféré le contrôle de votre accès à distance à un ou plusieurs groupes différents et plus sophistiqués qui ont finalement livré la charge utile du ransomware » - Sophos

La nouvelle phase a commencé avec l'installation de l'outil de post-exploitation de Mimikatz et LaZagne pour extraire les ensembles d'informations d'identification du serveur compromis.

Les attaquants ont rendu leur présence plus apparente en effaçant les journaux et en redémarrant le système via des commandes à distance, alertant les administrateurs système qui ont mis 60 serveurs hors ligne et segmenté le réseau.

Une deuxième erreur lors de la réponse à cet incident a désactivé la sécurité des terminaux. À partir de ce moment, les deux parties se sont engagées dans une confrontation ouverte de mesures et de contre-attaques.

'Un flux constant d'activités de création de tables a eu lieu alors que les attaquants vidaient les informations d'identification du compte, exécutaient des outils d'énumération du réseau, vérifiaient leurs capacités RDP et créaient de nouveaux comptes d'utilisateurs, vraisemblablement pour avoir des options en cas d'interruption' - Sophos

«Le premier jour du sixième mois de l'attaque, l'attaquant a fait son grand pas en exécutant Advanced IP Scanner et a presque immédiatement commencé un mouvement latéral vers plusieurs serveurs sensibles. En quelques minutes, l'attaquant a accès à un grand nombre de personnes et d'achats sensibles. files, signale le rapport Sophos.

Sophos s'est joint à l'effort de réponse et a fermé les serveurs qui fournissaient un accès à distance aux adversaires, mais une partie du réseau avait déjà été chiffrée avec LockBit.

Sur certaines machines, même si les fichiers avaient été renommés avec le suffixe LockBit, le cryptage n'avait pas eu lieu, donc les restaurer consistait à annuler l'action de changement de nom.

Usure

Les chercheurs affirment que la mise en œuvre de la protection par authentification multifacteur (MFA) aurait conduit à un résultat différent, car elle aurait empêché les pirates de se déplacer librement ou au moins considérablement entravé leur action sur le réseau compromis.

Une autre fonctionnalité de sécurité critique qui aurait pu ralentir les acteurs de la menace est une règle de pare-feu qui bloque l'accès à distance aux ports RDP.

Enfin, ce cas met en évidence le problème de la réponse aux incidents et des erreurs de maintenance et la nécessité de suivre les listes de contrôle de sécurité même dans les situations d'urgence.

Qu'est-ce que tu penses?