Une agence gouvernementale régionale américaine compromise avec le rançongiciel LockBit avait l’acteur de la menace dans son réseau pendant au moins cinq mois avant le déploiement de la charge utile, ont découvert des chercheurs en sécurité.
Les journaux récupérés des machines compromises ont montré que deux groupes de menaces les avaient compromises et étaient engagés dans des opérations de reconnaissance et d’accès à distance.
Les attaquants ont tenté de supprimer leurs traces en supprimant les journaux d’événements, mais les morceaux des fichiers sont restés, ce qui a permis aux analystes des menaces d’avoir un aperçu de l’acteur et de ses tactiques.
Compromis initial
L’accès initial permettant l’attaque était un dispositif de protection qu’un des techniciens de l’agence a laissé désactivé suite à une opération de maintenance.
Selon des chercheurs de la société de cybersécurité Sophos, l’acteur a accédé au réseau via des ports de bureau à distance (RDP) ouverts sur un pare-feu mal configuré, puis a utilisé Chrome pour télécharger les outils nécessaires à l’attaque.
L’ensemble d’outils comprenait des utilitaires pour le forçage brutal, l’analyse, un VPN commercial et des outils gratuits permettant la gestion de fichiers et l’exécution de commandes, tels que PsExec, FileZilla, Process Explorer et GMER.
De plus, les pirates ont utilisé des logiciels de bureau et de gestion à distance comme ScreenConnect, et plus tard dans l’attaque, AnyDesk.
À partir de là, les attaquants ont passé du temps à faire profil bas et ont juste essayé de voler de précieuses informations d’identification de compte pour étendre leur compromission du réseau.
À un moment donné, ils ont arraché les informations d’identification d’un administrateur de serveur local qui disposait également des autorisations d’administrateur de domaine, afin de pouvoir créer sur d’autres systèmes de nouveaux comptes avec des privilèges d’administrateur.
Améliorer le jeu
Dans la deuxième phase de l’attaque, initiée cinq mois après la compromission initiale, un acteur plus sophistiqué semble avoir pris le relais, amenant Sophos à supposer qu’un acteur de plus haut niveau était désormais en charge de l’opération.
« La nature de l’activité récupérée à partir des journaux et des fichiers d’historique du navigateur sur le serveur compromis nous a donné l’impression que les acteurs de la menace qui ont pénétré le réseau en premier n’étaient pas des experts, mais des novices, et qu’ils ont peut-être transféré plus tard le contrôle de leur accès à distance à un ou plusieurs groupes différents et plus sophistiqués qui, finalement, ont livré la charge utile du ransomware » – Sophos
La nouvelle phase a commencé par l’installation de l’outil de post-exploitation Mimikatz et LaZagne pour extraire les ensembles d’informations d’identification du serveur compromis.
Les attaquants ont rendu leur présence plus évidente en effaçant les journaux et en effectuant des redémarrages du système via des commandes à distance, alertant les administrateurs système qui ont mis 60 serveurs hors ligne et segmenté le réseau.
Une deuxième erreur lors de cette réponse à l’incident a désactivé la sécurité des terminaux. Dès lors, les deux parties s’engagent dans une confrontation ouverte de mesures et de contre-mouvements.
« Un flux constant d’activités de configuration de table a eu lieu alors que les attaquants vidaient les informations d’identification du compte, exécutaient des outils d’énumération du réseau, vérifiaient leurs capacités RDP et créaient de nouveaux comptes d’utilisateurs, probablement pour se donner des options au cas où ils seraient interrompus » – Sophos
« Le premier jour du sixième mois de l’attaque, l’attaquant a fait son grand pas en exécutant Advanced IP Scanner et en commençant presque immédiatement un mouvement latéral vers plusieurs serveurs sensibles. En quelques minutes, l’attaquant a accès à un grand nombre de personnes sensibles et achète files », informe le rapport de Sophos.
Sophos s’est joint à l’effort de réponse et a fermé les serveurs qui fournissaient un accès à distance aux adversaires, mais une partie du réseau avait déjà été chiffrée avec LockBit.
Sur quelques machines, bien que les fichiers aient été renommés avec le suffixe de LockBit, aucun cryptage n’avait eu lieu, donc les restaurer consistait à inverser l’action de renommage.
À emporter
Les chercheurs affirment que la mise en œuvre de la protection par authentification multifacteur (MFA) aurait conduit à un résultat différent, car elle aurait empêché les pirates de se déplacer librement ou au moins considérablement entravé leur action sur le réseau compromis.
Une autre fonctionnalité de sécurité critique qui aurait pu ralentir les acteurs de la menace est une règle de pare-feu bloquant l’accès à distance aux ports RDP.
Enfin, ce cas met en évidence le problème des erreurs de maintenance et de réponse aux incidents et la nécessité de suivre les listes de contrôle de sécurité même dans les situations d’urgence.