Des criminels ont fait des recherches sur le piratage de TTP après une violation dans une cyberattaque « désordonnée »

Des acteurs malveillants ont violé les serveurs d’un organisme gouvernemental régional aux États-Unis, puis ont passé cinq mois à les utiliser pour rechercher des outils de piratage et d’administration informatique qui pourraient atteindre leurs objectifs, selon les chercheurs de Sophos qui ont enquêté et finalement contenu l’attaque « désordonnée ».

Les chercheurs ont aujourd’hui partagé les détails de la cyberattaque de longue date sur le client non divulgué, qui a finalement vu les attaquants exfiltrer les données de la victime et déployer le ransomware Lockbit. Ils pensent qu’il est possible que plusieurs attaquants différents aient infiltré le serveur vulnérable.

« C’était une attaque très désordonnée. En travaillant avec la cible, les chercheurs de Sophos ont pu construire une image qui a commencé avec ce qui semble être des attaquants novices pénétrant dans le serveur, fouillant dans le réseau et utilisant le serveur compromis pour Google une combinaison de versions piratées et gratuites de pirates et d’outils d’administration légitimes à utiliser dans leur attaque. Ils semblaient alors ne pas savoir quoi faire ensuite », a déclaré Andrew Brandt, chercheur principal en sécurité chez Sophos.

Le point d’accès initial semble avoir transité par un port RDP (Remote Desktop Protocol) ouvert sur un pare-feu qui avait été configuré pour fournir un accès public au serveur. Cela a eu lieu en septembre 2021.

Comme déjà noté, les attaquants ont ensuite utilisé un navigateur sur le serveur piraté pour rechercher en ligne des outils de piratage, qu’ils ont ensuite essayé d’installer. Dans certains cas, leurs recherches les ont conduits à des téléchargements « louches » qui ont également déployé des logiciels publicitaires malveillants sur le serveur compromis.

Certains des outils qu’ils ont essayé d’installer comprenaient Advanced Port Scanner, FileZilla, LaZagne, mimikatz, NLBrute, Process Hacker, PuTTY, Remote Desktop Passview, RDP Brute Forcer, SniffPass et WinSCP. Ils ont également essayé d’utiliser des outils d’accès à distance commerciaux, notamment ScreenConnect et AnyDesk.

« Si un membre de l’équipe informatique ne les a pas téléchargés dans un but spécifique, la présence de tels outils sur les machines de votre réseau est un signal d’alarme pour une attaque en cours ou imminente », a déclaré Brandt.

« Une activité réseau inattendue ou inhabituelle, telle qu’une machine analysant le réseau, est un autre indicateur de ce type. Les échecs répétés de connexion RDP sur une machine uniquement accessible à l’intérieur du réseau sont un signe que quelqu’un pourrait utiliser un outil de force brute pour essayer de se déplacer latéralement – tout comme les connexions actives à partir d’outils d’accès à distance commerciaux que l’équipe informatique n’a pas installés ou a peut-être utilisés dans le passé, mais n’a pas utilisé depuis un certain temps.

En janvier 2022, les attaquants ont changé de tactique et ont commencé à montrer des signes d’activité plus compétente et plus ciblée. Un cryptomineur malveillant précédemment déployé a été supprimé, tout comme le logiciel de sécurité du serveur – la cible ayant accidentellement laissé une fonction de protection désactivée après un cycle de maintenance précédent. Ils ont ensuite pu voler des données et déployer Lockbit, bien que le ransomware n’ait connu que partiellement un succès.

Brandt a suggéré que ce changement de tactique pourrait indiquer qu’un groupe distinct s’implique de son propre chef ou que l’accès a été vendu d’une manière ou d’une autre. « Environ quatre mois après la violation initiale, la nature de l’activité d’attaque a changé, dans certains cas de manière si radicale qu’elle suggère que des attaquants aux compétences très différentes avaient rejoint la mêlée », a-t-il déclaré.

« Une approche de défense en profondeur robuste, proactive et 24 heures sur 24, 7 jours sur 7, aidera à empêcher une telle attaque de s’implanter et de se dérouler. La première étape la plus importante consiste à essayer d’empêcher les attaquants d’accéder à un réseau en premier lieu – par exemple, en mettant en œuvre une authentification multifacteur et en définissant des règles de pare-feu pour bloquer l’accès à distance aux ports RDP en l’absence d’un VPN. [virtual private network] connexion. »

Saryu Nayyar, PDG et fondateur de Gurucul, a déclaré qu’avec des temps de séjour dépassant les 250 jours dans certains cas, les acteurs de la menace étaient beaucoup plus en mesure de cacher leur activité auxInformation sur l’actualité et gestion des événements (SIEM) ou détection et réponse étendues (XDR) des outils qui visent à identifier des modèles sur des périodes plus courtes.

Elle a déclaré que la capacité manuelle de reconstituer des indicateurs de compromission (IoC) apparemment disparates sur des semaines ou des mois était pratiquement impossible pour une équipe de sécurité, et quelque chose avec lequel la plupart des solutions actuelles ont du mal.

« Les organisations doivent chercher à ajouter des outils plus avancés qui relient des événements disparates au fil du temps à l’aide d’analyses et de modèles d’apprentissage automatique adaptatifs et entraînés, et pas seulement de simples corrélations ou d’apprentissage automatique fixe basé sur des règles », a-t-elle déclaré.

« En outre, contenu de menace inclus (malheureusement, la plupart des entreprises facturent pour la détection automatisée des menaces prête à l’emploi), trafic réseauL’analyse pour identifier les communications externes non autorisées, ainsi que la base et l’analyse en temps réel du comportement des utilisateurs et des entités peuvent être utilisées pour révéler comment les comportements anormaux constituent des menaces de sécurité réelles associées à une campagne d’attaque. Cela change la donne pour permettre aux équipes de sécurité d’être proactives plutôt que réactives », a déclaré Nayyar.