Connect with us

Technologie

La semaine dans ransomware: Foxconn et Randstad sont des victimes de haut niveau

Published

on


Parmi les organisations de haut niveau victimes d’attaques ransomware au cours de la semaine du 7 au 11 Décembre 2020 ont inclus le géant de l’électronique Foxconn et spécialistes du recrutement Randstad, que les gangs criminels derrière ransomware ne montrent aucun signe de laisser tomber.

L’usine mexicaine de fabrication de puces de Foxconn, qui a d’abord été attaquée au cours du week-end de Thanksgiving fin novembre par le gang DoppelPaymer et qui a été fermée en conséquence, revient maintenant aux affaires comme d’habitude après l’attaque contre ses systèmes qui a vu des fichiers volés publiés sur le site de fuite de DoppelPaymer – principalement des documents internes inoffensifs, selon les rapports. Les cybercriminels à l’origine de l’attaque ont exigé une rançon de 34 millions de dollars (27,6 millions d’euros/25,5 millions de livres sterling).

L’attaque de Foxconn a été la deuxième violation majeure d’un fabricant d’équipement d’origine (OEM) fab en autant de mois. Comme le souligne Saryu Nayyar, PDG de Gurucul, cela montre la sophistication croissante de gangs tels que DoppelPaymer, agissant de plus en plus effrontément et s’en prendre à des cibles de plus en plus grandes.

« Les organisations doivent améliorer leur jeu si elles veulent éviter de devenir la prochaine violation digne de l’information. Formation des utilisateurs, AMF [multi-factor authentication], et un périmètre solide peut aider à empêcher les attaquants d’entrer », a déclaré Nayyar.

« À l’intérieur, une pile de sécurité robuste avec analyse de sécurité peut aider à identifier une violation et à l’atténuer avant que les attaquants ne volent des données ou ne chiffrent des systèmes. Nous ne pouvons qu’espérer que la communauté internationale chargée de l’application de la loi sera à la hauteur et fera sa part, car ces cybercriminels ne montrent aucun signe d’arrêt par eux-mêmes.

Analysant l’attaque, Chloé Messdaghi, vice-présidente de point3 Security strategy, a déclaré qu’il était probable que les attaquants de Foxconn étaient entrés dans les systèmes opérationnels de l’entreprise, et que l’affaire soulageait un manque de pratique de confiance zéro et de mauvaises politiques de sauvegarde des données.

« La meilleure façon d’éviter les ravages que ransomware peut causer est d’avoir un plan de travail en place … revisiter et mettre à jour ce livre de jeu au moins trimestriellement – vos outils sont-ils les mêmes? Votre personnel est-il le même? Les flux de données et les exigences réglementaires sont-ils les mêmes? Un cahier de jeux vieux de plus de 60 jours sera forcément au moins un peu moisi. Avec la récente vague d’attaques, de plus en plus d’entreprises adoptent l’approche du trou d’air.

« Dans le cas de Foxconn, ils pourraient bien avoir à payer la rançon, parce que frapper et arrêter la production est le rêve d’un attaquant. Sur 172 milliards de dollars de revenus, ils vont décoller 34 millions de dollars – un montant énorme, mais si la production est touchée, c’est peut-être leur seule option », a déclaré Messdaghi.

Ilia Kolochenko d’Immuniweb a déclaré que les rumeurs selon lesquelles le gang DoppelPaymer aurait compromis plus de 1 000 serveurs de Foxconn et supprimé toutes les sauvegardes étaient, le cas dernier, un « indicateur sans ambiguïté de négligence grave » de la part de la victime.

« [It is] il est peu probable qu’une assurance cybersécurité paie un sou pour les dommages dans les circonstances, tandis que la victime aura probablement une réclamation solide contre les fournisseurs informatiques et de sécurité en charge de sa gestion de réseau », a déclaré Kolochenko.

Comme le coup sur Foxconn, l’attaque sur Randstad a également suivi le livre de jeu maintenant familier double extorsion. L’entreprise basée aux Pays-Bas a été compromise par le ransomware Egregor relativement nouveau, mais a déclaré que seul un nombre limité de ses serveurs ont été affectés et les opérations n’ont pas été perturbées. Fait intéressant, il semble que l’entreprise n’ait pas reçu de lettre de rançon.

« A ce jour, notre enquête a révélé que le groupe Egregor avait obtenu un accès non autorisé et illégal à notre environnement informatisé mondial et à certaines données, notamment liées à nos opérations aux Etats-Unis, en Pologne, en Italie et en France », a indiqué le cabinet dans un communiqué.

« Ils ont maintenant publié ce qui est prétendu être un sous-ensemble de ces données. L’enquête est en cours afin d’identifier les données qui ont été consultées, y compris les données personnelles, afin que nous puissions prendre les mesures appropriées en ce qui concerne l’identification et l’avis des parties concernées.

Messdaghi point3 a déclaré que, contrairement à Foxconn, Randstad avait montré une excellente préparation, en s’assurant que si jamais il allait être compromise par ransomware, ses données étaient sûres.

« Nous nous référons à l’approche 3-2-1 : trois copies de données stockées sur deux supports et un fournisseur de stockage cloud, afin que vous puissiez récupérer de l’un de ces trois emplacements. La seule façon d’éviter ransomware sur les systèmes de sauvegarde est d’avoir un plan en place, le revoir régulièrement, et sauvegarder très souvent. Et il y a de fortes chances que ce soit le genre exact de plan que Randstad avait en place », a-t-elle déclaré.

Messdaghi a également félicité Randstad de ne pas avoir utilisé le terme « hacker » lorsqu’il s’agit du gang Egregor, reconnaissant la différence entre les cybercriminels malveillants et la communauté des pirates informatiques.

Parmi les autres attaques ransomware notables au cours de la dernière semaine, mentionnons les grèves contre le détaillant nord-américain Kmart et le réseau de transport public de Vancouver, TransLink, tous deux compris comme l’œuvre d’Egregor.

Sophos et d’autres se déversent sur Egregor

Au sujet d’Egregor, des chercheurs de Sophos ont publié cette semaine des recherches approfondies sur le nouvel enfant sur le bloc, mettant en évidence les tactiques, techniques et procédures (TTPs) utilisées par ses opérateurs – soupçonnés d’utiliser un affilié, ransomware-as-a-service (RaaS) modèle.

Comme beaucoup d’autres chercheurs l’ont fait, Sophos a noté des similitudes avec le ransomware Maze aujourd’hui disparu, tels que l’utilisation des algorithmes de cryptage ChaCha et RSA, et a mis en évidence d’autres connexions à Sekhmet et Ryuk. Un incident sondé par l’équipe d’intervention rapide de l’entreprise a vu les opérateurs utiliser Cobalt Strike, copier des fichiers à un répertoire particulier, C:perflogs, et utiliser SystemBC, une politique de réseau Tor malveillante, comportement identique à celui observé dans les attaques ryuk.

Sean Gallagher, chercheur principal en sécurité chez Sophos, a déclaré: « Les résultats de Sophos révèlent combien il peut être difficile pour les équipes de sécurité informatique de se défendre contre les attaques ransomware-as-a-service, puisque les opérateurs ransomware comptent souvent sur plusieurs canaux de distribution de logiciels malveillants de base pour atteindre leurs victimes, créant un profil d’attaque plus diversifié qui est plus difficile à prédire et à traiter. Il augmente le nombre de tactiques, techniques et procédures utilisées par chaque type ransomware, ce qui rend la défense en profondeur essentielle pour attraper les attaques.

« Une approche de défense en profondeur permet de se protéger contre le vol et le cryptage des données. Étant donné que le groupe derrière Egregor prétend vendre des données volées si les rançons ne sont pas payées, il ne suffit pas d’avoir simplement de bonnes sauvegardes de données organisationnelles comme une atténuation pour ransomware.

« Bloquer les itinéraires d’exfiltration communs pour les données – comme empêcher les connexions Tor – peut rendre le vol de données plus difficile, mais la meilleure défense est d’empêcher les attaquants de s’implanter dans votre réseau. La formation des employés est essentielle, tout comme l’utilisation de la chasse aux menaces à base humaine pour détecter les attaques actives », a déclaré M. Gallagher.

Riposter en 2021

Avec la saison des fêtes qui bat son plein, l’attention dans la communauté de la cybersécurité s’est tourné vers ce qui nous attend en 2021, et parmi ceux qui atteignent leurs tiges de divination a été Jim McGann, vice-président du marketing et du développement des affaires chez Index Engines.

McGann prédit que face à la sophistication accrue ransomware gangs ont montré en 2020 signifiait se remettre d’une attaque allait exiger beaucoup plus de temps et de budget l’année prochaine.

« Les cyberattaques deviennent de plus en plus intelligentes. Les criminels passent plus de temps à habiter pour déterminer comment causer le plus de destruction et aussi à la recherche du contenu le plus sensible qui, lorsqu’il est volé, causera le plus de tort à une organisation, ce qui se traduira par des demandes de rançon plus élevées », a-t-il déclaré.

« Les rançons des récentes attaques s’adentent à des dizaines de millions de dollars. Les organisations dépenseront un budget important pour se remettre de ces attaques, y compris des heures d’homme consacrées à la récupération de leurs activités commerciales.

Pendant ce temps, la double tendance à l’extorsion mettra l’accent sur la gouvernance des données – avec des attaques ransomware qui évoluent maintenant en violations complètes de données, les organisations doivent intensifier leurs initiatives de gouvernance des données, a déclaré McGann, ce qui les obligera à savoir quelles données sensibles ils détiennent, où ils se trouvent, et comment ils peuvent les protéger, de peur qu’ils ne soient confrontés à des amendes en vertu de règlements tels que le Règlement général sur la protection des données (GDPR).

Cela aura probablement des répercussions pour ceux qui se trouveront à l’intersection de la cybersécurité et du stockage. McGann prévoit qu’à partir de 2021, l’infrastructure de sauvegarde, qui n’a pas beaucoup changé depuis longtemps, verra une transformation notable.

« Les cyberattaques ont généré un regain d’intérêt pour la sauvegarde. C’est souvent la seule solution pour se remettre d’une attaque. Et il existe de nouvelles solutions de sauvegarde de meilleure qualité qui se sont développées en solutions de cyber-récupération qui fournissent des analyses sophistiquées, un apprentissage automatique plus intelligent et des lacunes isolées en matière d’air pour une sécurité accrue en toute confiance.

« Ceux-ci sont actuellement utilisés par les premiers adoptants et organisations qui ont déjà fait l’objet d’une attaque. Ces meilleures solutions de sauvegarde et de cybersécurité deviennent rapidement la norme de l’industrie », a déclaré M. McGann.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Trending