Rapport Advanced Threat Research

R a p p o r t

A d v a n c e d

T h r e a t

R e s e a r c h

O c t . 2 0 2 1

RAPPORT

3 Lettre de notre analyste en chef

4 RANSOMWARE

4 Multiplication des ransomwares 6 Exclusion de ransomwares en plein essor

par des forums clandestins8 Secteurs ciblés par les ransomwares : l'écart

entre les renseignements issus de sources publiques et les données télémétriques

9 Principaux modèles et techniques MITRE ATT&CK utilisés par les familles de ransomwares, 2e trim. 2021

10 B. Braun : des vulnérabilités identifiées dans une pompe à perfusion utilisée dans le monde entier

11 Menaces CLOUD

11 Prévalence des menaces cloud 11 Secteurs ciblés par des menaces cloud dans

le monde, 2e trim. 202112 Nombre total d'incidents liés au cloud par secteur

dans le monde et aux États-Unis, 2e trim. 202113 Incidents liés au cloud par pays, 2e trim. 2021

13 Menaces à l'encontre des pays, des continents et des secteurs d'activité et vecteurs d'attaque

13 Pays et continents, 2e trim. 202113 Secteurs ciblés, 2e trim. 202113 Vecteurs d'attaque, 2e trim. 2021

14 Principales techniques MITRE ATT&CK, 2e trim. 2021

17 Comment se défendre contre ces menaces

18 Ressources

18 Twitter

Rapport Advanced Threat Research, octobre 2021

RAPPORT

2

Sommaire

Rédaction et recherches

Christiaan Beek

Ashley Dolezal

John Fokker

Melissa Gaffney

Tracy Holden

Tim Hux

Phillippe Laulheret

Douglas McKee

Lee Munson

Chris Palm

Tim Polzer

Steve Povolny

Raj Samani

Pankaj Solanki

Leandro Velasco

L'équipe se concentre désormais sur la prévalence, c'est-à-dire la fréquence de détection de chaque menace dans le monde, mais surtout sur les cibles des attaques.

Lettre de notre analyste en chef

Bienvenue dans ce NOUVEAU rapport sur le paysage des menaces, ainsi qu'au sein d'une NOUVELLE entreprise.

De nombreux changements sont intervenus depuis notre dernier rapport sur le paysage des menaces. Nous avons découvert que, malgré un changement de nom, le groupe de ransomwares DarkSide n'a pas disparu et serait lié à BlackMatter ! Par ailleurs, nos observations récentes concernant des pompes à perfusion démontrent l'importance des recherches en matière de sécurité (voir plus loin dans ce rapport).

Mon équipe et moi-même sommes désormais passés sous la direction de McAfee Enterprise, une nouvelle société entièrement vouée à la cybersécurité des entreprises, raison pour laquelle nos travaux ne sont plus publiés sous le label McAfee Labs. Mais ne vous inquiétez pas, vous pouvez continuer à nous suivre via les nouveaux tweets de l'équipe ATR de McAfee Enterprise : @McAfee_ATR.

Les changements survenus ne se limitent évidemment pas à Twitter, et certains se reflètent dans notre nouveau rapport sur le paysage des menaces. Ainsi, nous mettons désormais l'accent sur la prévalence, c'est-à-dire la fréquence de détection de chaque menace dans le monde, mais surtout sur les cibles des attaques. Cette approche s'appuie sur des analyses complémentaires, qui seront détaillées dans le rapport afin d'intégrer les recherches en cours sur les cybercriminels, ainsi que les vulnérabilités actuellement exploitées ou susceptibles de l'être à l'avenir.

Nous espérons que vous apprécierez ce nouveau format et attendons avec impatience vos commentaires sur les points forts et les points faibles de ce rapport. N'hésitez pas également à nous faire part des sujets que vous souhaiteriez voir traités à l'avenir.

Restons en contact.

— Raj Samani

Analyste en chef et Chargé de recherche, McAfee Enterprise

Twitter @Raj_Samani


RAPPORT

3

https://twitter.com/mcafee_atr

https://twitter.com/Raj_Samani

RANSOMWARE

Multiplication des ransomwares

Au cours des deuxième et troisième trimestres de cette année, les cybercriminels ont déployé de nouvelles menaces et tactiques dans des campagnes ciblant des secteurs de premier plan, de même qu'actualisé leurs méthodes existantes. Si les campagnes de ransomwares n'ont pas connu de fléchissement, leur modèle commercial a en revanche évolué afin d'extraire des données de valeur et d'extorquer des rançons se chiffrant en millions à des entreprises de toutes tailles.

En mai 2021, l'attaque très médiatisée de DarkSide à l'encontre du système d'oléoducs américain Colonial Pipeline a fait les gros titres dans le domaine de la cybersécurité. MVISION Insights a rapidement identifié les premières cibles de DarkSide aux États-Unis, principalement dans les secteurs des services juridiques, de la grande distribution, de la fabrication, du pétrole, du gaz et des produits chimiques.

La fermeture d'une des principales chaînes d'approvisionnement en carburant des États-Unis n'a pas manqué d'attirer l'attention des autorités publiques et des centres d'opérations de sécurité, mais d'autres groupes de ransomwares recourant à des modèles d'affiliation similaires s'avèrent tout aussi inquiétants. Ainsi, les auteurs des ransomwares Ryuk, REvil, Babuk et Cuba ont déployé de manière active des modèles commerciaux favorisant l'implication d'autres acteurs afin d'exploiter des vecteurs d'entrée courants et d'autres outils similaires. Ces groupes, ainsi que d'autres et leurs affiliés, exploitent des vecteurs d'entrée courants et utilisent souvent les mêmes outils pour se déplacer au sein d'un environnement. Peu de temps après l'attaque de DarkSide, le gang REvil lui a volé la vedette en utilisant une charge active Sodinokibi dans le cadre de son attaque par ransomware à l'encontre de Kaseya, un fournisseur international d'infrastructures informatiques. Le tandem REvil/Sodinokibi figure en tête de notre liste des détections de ransomwares au 2e trimestre 2021.


RAPPORT

4


RANSOMWARE

B. Braun : des vulnérabilités identifiées dans une pompe à perfusion utilisée dans le monde entier

MENACES CLOUD

Menaces à l'encontre des pays, des continents et des secteurs d'activité et vecteurs d'attaque

Principales techniques MITRE ATT&CK, 2e trim. 2021

Comment se défendre contre ces menaces

Ressources

https://www.mcafee.com/enterprise/fr-fr/lp/insights-preview.html

Détections par famille de ransomwares

1er trim. 2021 2e trim. 2021

REvil/Sodinokibi

RansomeXX

Ryuk

Netwalker

Thanos

MountLocker

WastedLocker

Exorcist

Conti

Maze

Figure 1. Le tandem REvil/Sodinokibi a enregistré le plus grand nombre de détections (73 %) parmi notre top 10 au 2e trimestre 2021.

Tandis que DarkSide et REvil connaissaient un recul après leurs attaques très médiatisées, un héritier de DarkSide a fait son apparition en juillet. Le ransomware BlackMatter s'est d'abord manifesté en Italie, en Inde, au Luxembourg, en Belgique, aux États-Unis, au Brésil, en Thaïlande, au Royaume-Uni, en Finlande et en Irlande sous la forme d'un programme d'affiliation de type Ransomware-as-a-Service (RaaS) incorporant des éléments des ransomwares DarkSide, REvil et LockBit. Compte tenu de la similitude du code du fichier binaire et de la ressemblance de la page publique avec ceux de DarkSide, il est très probable que le ransomware BlackMatter est un prolongement de DarkSide, ce que conteste toutefois BlackMatter.


RAPPORT

5


RANSOMWARE


MENACES CLOUD




Ressources

Un autre « ancien » ransomware légèrement modifié a été découvert au milieu de l'année 2021. Le ransomware LockBit 2.0 est une version mise à jour de LockBit 2020. Doté de nouvelles fonctionnalités de chiffrement automatique des équipements hébergés dans le domaine, d'exfiltration de données et d'accès aux systèmes via le protocole RDP, il est en outre capable de recruter de nouveaux affiliés depuis l'intérieur de l'entreprise ciblée.

Les développeurs de ransomwares ont également lancé de nouvelles campagnes. Observée pour la première fois en juin 2021 principalement en Inde, en Belgique, en Italie, aux États-Unis, en Turquie, en Thaïlande, au Mexique, en Allemagne, en Colombie et en Ukraine, la famille de ransomwares Hive opère en tant que Ransomware-as-a-Service codé en GO pour compromettre des établissements de soins de santé et des entreprises exploitant des infrastructures critiques.

Notre équipe propose une analyse approfondie des ransomwares, et notamment de la réaction inattendue des forums clandestins, des secteurs ciblés et de l'écart entre les renseignements issus de sources publiques et les données télémétriques.

Exclusion de ransomwares en plein essor par des forums clandestins

Le 2e trimestre 2021 a été animé pour les ransomwares, qui se sont retrouvés parmi les priorités du programme de cybersécurité de l'administration américaine. Mais les forums cybercriminels clandestins historiquement sûrs n'ont pas non plus été épargnés.

La fermeture forcée de Colonial Pipeline provoquée par DarkSide a permis de prendre la mesure des répercussions d'une attaque de ransomware. Cet arrêt brutal de la chaîne d'approvisionnement a touché une grande partie de la côte est des États-Unis, déclenchant une ruée des consommateurs dans les stations-service. L'attaque et ses répercussions économiques et commerciales ont mis en exergue le pouvoir destructeur du ransomware et ont retenu toute l'attention des autorités chargées de la sécurité.

La réaction politique face aux conséquences de l'attaque de Colonial Pipeline a conduit le groupe de ransomwares DarkSide à mettre brutalement fin à ses activités. Plusieurs autres groupes cybercriminels ont par ailleurs annoncé qu'ils allaient évaluer leurs futures cibles et exclure certains secteurs.

Une semaine plus tard, deux des forums clandestins les plus influents, XSS et Exploit, ont annoncé l'interdiction de toute publicité pour des ransomwares. Pendant des années, ces mêmes forums ont servi de refuge aux cybercriminels et ont contribué à l'essor des ransomwares, donnant ainsi naissance à un commerce florissant de réseaux compromis, de journaux de voleurs de mots de passe et de services de chiffrement, entre autres. La plupart des cybercriminels derrière les principales familles de ransomwares sont des criminels de carrière qui entretiennent souvent des relations étroites avec les administrateurs et les modérateurs de forums. D'après nous, cette décision est donc un moyen pour ces forums de sauver leur peau.


RAPPORT

6


RANSOMWARE


MENACES CLOUD




Ressources

Bien que les profils fictifs (personas) en ligne associés à des ransomwares aient été interdits, les cybercriminels demeurent actifs sur plusieurs forums sous différents autres profils fictifs.

Figure 2. Message de l'administrateur de XSS signalant l'interdiction

des ransomwares

Au cours de cette même période, le groupe de ransomwares Babuk a lui aussi été confronté à un certain nombre de problèmes, dont la défaillance d'un outil de verrouillage ESXI *nix décrite en détail dans notre article de blog.

À la suite de conflits internes au sein de l'équipe Babuk, le groupe s'est séparé et un nouveau forum dédié aux ransomwares et appelé RAMP a vu le jour, permettant ainsi à de nombreux cybercriminels spécialisés en ransomwares de se regrouper pour réaliser des transactions et partager des TTP. Malgré leur interdiction sur certains forums cybercriminels plus importants, les ransomwares n'ont montré aucun signe de ralentissement et demeurent l'une des cybermenaces les plus dangereuses pour les entreprises, quelle que soit leur taille.


RAPPORT

7


RANSOMWARE


MENACES CLOUD




Ressources

https://www.mcafee.com/enterprise/en-us/assets/reports/rp-babuk-moving-to-vm-nix-systems.pdf

https://www.mcafee.com/enterprise/en-us/assets/reports/rp-babuk-moving-to-vm-nix-systems.pdf

Secteurs ciblés par les ransomwares : l'écart entre les renseignements issus de sources publiques et les données télémétriquesDe nombreux groupes de ransomwares disposent de portails sur lesquels ils publient les noms de leurs victimes et des échantillons de données collectées afin de contraindre ces victimes à payer la rançon sous peine de divulguer, voire de vendre, les données dérobées. Les sites de fuite de données servent de vitrines en cas d'échec des négociations et ne reflètent pas la totalité des attaques menées par les groupes de ransomwares. Les données concernant les secteurs d'activité et zones géographiques concernés présentent toutefois beaucoup d'intérêt.

Notre équipe surveille bon nombre de ces pages, collecte les noms des familles de ransomwares et met en correspondance la victime avec le secteur d'activité et le pays. Grâce à la collecte et à la compilation de ces données, nous avons pu identifier les familles de ransomwares ciblant les dix principaux secteurs ci-dessous aux États-Unis.

1er trim. 2021 2e trim. 2021

Organismes publics

Télécommunications

Énergie

Médias et communications

Industrie

Enseignement

Comptabilité et juridique

Technologie

Finance

Transports et logistique

Figure 3. Les organismes publics ont été le secteur le plus ciblé par les ransomwares au 2e trimestre 2021, suivis des télécommunications, de l'énergie et des médias/communications.


RAPPORT

8


RANSOMWARE


MENACES CLOUD




Ressources

Les données télémétriques recueillies par nos capteurs aux États-Unis ont permis de mettre en correspondance l'activité observée des ransomwares avec les données concernant les secteurs cibles fournies par Open Source Intelligence (OSINT) :

Secteurs cibles selon les données télémétriques

Secteurs cibles selon OSINT

Organismes publics Fabrication

Finance Vente au détail

Enseignement Santé

Télécommunications Construction

Énergie Transports

Médias Enseignement

Industrie Entreprises

Immobilier Juridique

Juridique Finance

Technologie IT

Tableau 1. Plus l'écart entre les deux secteurs est important, plus leur protection est efficace. Plus la différence est réduite, plus le secteur doit être attentif au risque de ransomware.

Qu'est-ce que la différence ? Et l'écart ? Les données télémétriques nous permettent d'observer l'activité des ransomwares détectée et bloquée dans le secteur où nous avons des clients. La première place occupée par les organismes publics dans les données télémétriques montre que de nombreuses tentatives ont ciblé ce secteur sans toutefois parvenir à leurs fins. En ce qui concerne les secteurs signalés par OSINT, nous constatons que les secteurs qui ont de gros besoins en matière de capacités informatiques pour prendre en charge les services stratégiques figurent en bonne place sur la liste des cibles des groupes de ransomwares.

Principaux modèles et techniques MITRE ATT&CK utilisés par les familles de ransomwares, 2e trim. 2021

Modèle/technique d'attaque1. Chiffrement de données à des fins d'impact

2. Découverte de fichiers et de répertoires

3. Dissimulation de fichiers/d'informations

4. Injection de processus

5. Élucidation/décodage de fichiers/d'informations

6. Découverte de processus

7. Prévention de la restauration du système

8. PowerShell

9. Découverte d'informations système

10. Modification du registre

Tableau 2. Le chiffrement de données à des fins d'impact a été le modèle d'attaque le plus souvent détecté au 2e trimestre 2021.


RAPPORT

9


RANSOMWARE


MENACES CLOUD




Ressources


Le secteur médical est confronté à des problèmes de sécurité uniques. Les attaques potentielles à l'encontre de centres médicaux peuvent représenter une menace bien plus importante qu'une attaque de ransomware à l'échelle d'un système. Notre équipe, en partenariat avec Culinda, a identifié un ensemble de vulnérabilités dans la pompe Infusomat Space et la SpaceStation de B. Braun.

Nos recherches nous ont permis de mettre au jour cinq vulnérabilités non encore signalées dans le système médical, à savoir :

1. CVE-2021-33886 : utilisation d'une chaîne de format contrôlée de l'extérieur (CVSS 7.7)

2. CVE-2021-33885 : vérification insuffisante de l'authenticité des données (CVSS 9.7)

3. CVE-2021-33882 : absence d'authentification d'une fonction critique (CVSS 8.2)

4. CVE-2021-33883 : transmission en texte clair d'informations sensibles (CVSS 7.1)

5. CVE-2021-33884 : chargement sans restriction de fichiers de type dangereux (CVSS 5.8)

Ensemble, ces vulnérabilités peuvent être utilisées par un cybercriminel pour modifier la configuration d'une pompe tandis que celle-ci est en veille, avec pour conséquence l'administration au patient d'une dose de médicament inattendue lors de l'utilisation suivante, sans aucune authentification.

Peu après avoir été informé des conclusions initiales de nos recherches, B. Braun est intervenu et a entrepris de mettre en place les mesures correctives recommandées dans notre rapport en collaboration avec notre équipe.

Ces conclusions présentent une vue d'ensemble et quelques détails techniques concernant la chaîne d'attaque la plus critique, ainsi que des solutions aux défis uniques auxquels fait face le secteur médical. Un récapitulatif est disponible sur notre blog.


RAPPORT

10


RANSOMWARE


MENACES CLOUD




Ressources

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33886





https://www.mcafee.com/blogs/enterprise/mcafee-enterprise-atr/overmedicated-breaking-the-security-barrier-of-a-globally-deployed-infusion-pump

Menaces CLOUD

Prévalence des menaces cloud

Les problèmes engendrés par la nécessité d'adapter la sécurité du cloud à un effectif plus flexible du fait de la pandémie, à charge de travail égale ou supérieure, ont offert aux cybercriminels encore plus de possibilités d'exploitations et de cibles potentielles au 2e trimestre 2021.

Les recherches sur les menaces cloud menées par notre équipe montrent que les services financiers ont été la principale cible des campagnes au cours de ce trimestre.

Menaces cloud les plus fréquentes au 2e trimestre 20211. Utilisation excessive à partir d'un emplacement anormal

2. Exfiltration de données par un utilisateur interne

3. Utilisation abusive d'accès avec privilèges

4. Exfiltration de données à haut risque

5. Exfiltration d'accès avec privilèges

6. Implantation, extension, exfiltration

7. Activités suspectes humainement impossibles

8. Exfiltration de données par un utilisateur à privilèges

Tableau 3. Définition de l'utilisation excessive à partir d'un emplacement anormal : l'utilisateur a téléchargé un très gros volume de données ou y a accédé sur un court laps de temps. Il s'agit d'un problème grave, car 1) les utilisateurs de l'entreprise n'avaient jamais accédé à un tel volume de données auparavant, et 2) le volume de données est important, même pour un grand groupe d'utilisateurs. Les menaces liées à l'utilisation excessive à partir d'un emplacement anormal figurent en tête des menaces cloud observées dans le monde, suivies de l'exfiltration de données par un utilisateur interne et de l'utilisation abusive d'accès avec privilèges. L'utilisation excessive à partir d'un emplacement anormal représente 62 % des menaces enregistrées.

Secteurs ciblés par des menaces cloud dans le monde, 2e trim. 2021

Entreprises1. Services financiers

2. Santé

3. Fabrication

4. Vente au détail

5. Services professionnels

6. Transports et hébergement

7. Logiciels et Internet

8. Technologie

9. Ordinateurs et électronique

10. Organismes à but non lucratif

Tableau 4. Les services financiers ont été le secteur le plus ciblé par les incidents liés au cloud signalés, suivis des secteurs de la santé, de la fabrication, de la vente au détail et des services professionnels. Les services financiers ont été ciblés par 33 % des incidents liés au cloud signalés dans les dix principaux secteurs, suivis des secteurs de la santé et de la fabrication (8 %).


RAPPORT

11


RANSOMWARE


MENACES CLOUD




Ressources

Nombre total d'incidents liés au cloud par secteur dans le monde et aux États-Unis, 2e trim. 2021

Secteur ciblé par des menaces cloud Pays1. Services financiers États-Unis

2. Services financiers Singapour

3. Santé États-Unis

4. Vente au détail États-Unis

5. Services professionnels États-Unis

6. Services financiers Chine

7. Fabrication États-Unis

8. Services financiers France

9. Vente au détail Canada

10. Services financiers Australie

Tableau 5. Au niveau mondial, les services financiers ont été ciblés par 50 % des dix principaux incidents liés au cloud survenus au 2e trimestre 2021, avec notamment des incidents aux États-Unis, à Singapour, en Chine, en France, au Canada et en Australie. Les États-Unis ont été la cible de 34 % des incidents liés au cloud enregistrés dans les dix principaux pays.

Secteur ciblé par des menaces cloud aux États-Unis1. Services financiers

2. Santé

3. Vente au détail

4. Services professionnels

5. Fabrication

6. Médias et divertissement

7. Transports et hébergement

8. Organismes publics

9. Logiciels et Internet

10. Services de formation

Tableau 6. Les services financiers ont été le secteur le plus touché par des incidents liés au cloud aux États-Unis au 2e trimestre 2021. Les incidents ciblant les services financiers représentaient 29 % de l'ensemble des incidents liés au cloud signalés dans les dix principaux secteurs.


RAPPORT

12


RANSOMWARE


MENACES CLOUD




Ressources

Incidents liés au cloud par pays, 2e trim. 2021

Pays1. États-Unis

2. Inde

3. Australie

4. Canada

5. Brésil

6. Japon

7. Mexique

8. Grande-Bretagne

9. Singapour

10. Allemagne

Tableau 7. Les pays les plus touchés par des incidents liés au cloud sont les États-Unis, suivis de l'Inde, de l'Australie, du Canada et du Brésil. Les États-Unis ont été ciblés par 52 % des incidents liés au cloud enregistrés dans les dix principaux pays.


Pays et continents : 2e trim. 2021

Des hausses notables du nombre d'incidents rendus publics par pays et continent ont été observées au 2e trimestre 2021 :

� Les États-Unis ont enregistré le plus grand nombre d'incidents signalés au 2e trimestre 2021.

� L'Europe a connu l'augmentation la plus importante (52 %) du nombre d'incidents signalés au cours du 2e trimestre.

Secteurs ciblés, 2e trim. 2021

Des augmentations notables des incidents rendus publics par secteur ont été observées au 2e trimestre 2021 :

� Une augmentation de la fréquence des attaques a été constatée dans plusieurs secteurs.

� Les augmentations les plus significatives concernent les organismes publics (64 %) et les divertissements (60 %).

Vecteurs d'attaque, 2e trim. 2021

Des augmentations notables des incidents rendus publics par vecteur ont été constatées au 2e trimestre 2021 :

� Le malware a été la technique la plus souvent utilisée dans les incidents signalés au 2e trimestre 2021.

� Le spam est le vecteur qui a connu la plus forte hausse (250 %) entre les 1er et 2e trimestres 2021, suivi du script malveillant (125 %) et du malware (47 %).


RAPPORT

13


RANSOMWARE


MENACES CLOUD




Ressources


Tactiques

Techniques (cinq principales techniques par tactique) Commentaires

Accès initial Pièce jointe de spearphishing

Le spearphishing (lien et pièce jointe) figure au nombre des trois principales techniques d'accès, avec l'exploitation d'applications publiques.

Exploitation d'applications publiques

Lien de spearphishing

Comptes valides

Services distants externes

Exécution Commande Shell Windows Au cours de ce trimestre, nous avons observé plusieurs attaques impliquant PowerShell ou la commande Shell Windows pour exécuter un malware en mémoire ou utiliser des outils à double usage/non malveillants afin de faciliter les tentatives d'exploitation du réseau. Les scripts de ligne de commande sont souvent incorporés à des cadres Pentesting, comme Cobalt Strike, pour simplifier l'exécution.

PowerShell

Fichier malveillant

Infrastructure de gestion Windows (WMI)

Modules partagés

Persistance Clés d'exécution du Registre/dossier de démarrage

Tâche planifiée

Service Windows

Comptes valides

Chargement latéral de fichiers DLL

Élévation de privilèges

Clés d'exécution du Registre/dossier de démarrage

Injection de processus L'injection de processus demeure l'une des principales techniques d'élévation de privilèges.

Tâche planifiée

Service Windows

Injection de fichiers Portable Executable

Contournement de la protection

Élucidation/décodage de fichiers/d'informations

Dissimulation de fichiers/d'informations

Modification du registre

Vérifications du système

Suppression de fichiers


RAPPORT

14


RANSOMWARE


MENACES CLOUD




Ressources

Tactiques


Accès aux identifiants

Enregistrement de frappe L'enregistrement de frappe et la collecte d'identifiants à partir de navigateurs web sont des fonctionnalités courantes de la plupart des chevaux de Troie d'accès à distance.

Identifiants à partir de navigateurs web

Vidage des identifiants du système d'exploitation

Cette technique est la fonctionnalité de base de l'outil de collecte d'identifiants Mimikatz, observé par l'équipe ATR dans de nombreuses campagnes analysées au cours du 2e trimestre.

Capture des entrées

Mémoire LSASS

Découverte Découverte d'informations système

Découverte de fichiers et de répertoires

Découverte de processus

Vérifications du système

Interrogation du Registre

Mouvement latéral

Protocole RDP (Remote Desktop Protocol)

Exploitation de services distants

Copie de fichiers distants

Partages d'administration SMB/Windows

SSH

Collecte Capture d'écran Plusieurs campagnes faisant intervenir un cheval de Troie à distance ont été lancées au 2e trimestre. La capture d'écran a été déployée par de nombreux variants du malware RAT.

Enregistrement de frappe

Données du système local

Données du Presse-papiers

Données collectées dans les archives

Commande et contrôle

Protocoles web

Transfert d'outils d'infiltration

Port non standard

Service web

Protocole non destiné à la couche Applications


RAPPORT

15


RANSOMWARE


MENACES CLOUD




Ressources

Tactiques


Exfiltration Exfiltration sur un canal de commande et contrôle

Exfiltration via un protocole alternatif

Exfiltration vers un stockage dans le cloud

Les cybercriminels spécialisés en ransomwares ont continué à exfiltrer les données de leurs victimes vers différents fournisseurs de services de stockage dans le cloud, principalement à l'aide de programmes tels que RClone et MegaSync.

Exfiltration automatisée

Exfiltration via un protocole non-C2 de dissimulation/non chiffré

Impact Chiffrement de données à des fins d'impact

Le chiffrement des données à des fins d'impact est une fois encore la technique la plus utilisée dans les campagnes et menaces analysées par l'équipe ATR. Au cours de ce trimestre, plusieurs familles de ransomwares ont lancé un outil de verrouillage basé sur Linux qui cible des serveurs ESXi, renforçant ainsi l'utilisation de cette technique.

Prévention de la restauration du système

La prévention de la restauration du système est une technique souvent utilisée par des groupes de ransomwares avant la distribution de la charge active finale. En supprimant tous les clichés instantanés des volumes, ce script empêche les victimes de restaurer les fichiers après l'attaque.

Piratage de ressources

Arrêt de service

Arrêt/redémarrage système

Tableau 8. Remarques sur les principales techniques MITRE ATT&CK utilisées par les groupes criminels/APT au 2e trimestre 2021.


RAPPORT

16


RANSOMWARE


MENACES CLOUD




Ressources


Au cours du 2e trimestre 2021, l'équipe ATR a observé et documenté de nombreux types de menaces différents. Nous disposons heureusement de l'expertise et des solutions nécessaires pour vous protéger vous et votre entreprise.

Découvrez comment la configuration d'ENS 10.7, la protection contre les manipulations et la restauration peuvent vous protéger contre le ransomware Cuba ou parcourez les articles de fond de notre blog destinés aux équipes de sécurité.

Mettez à niveau vos connaissances en matière de blocage des fenêtres pop-up gênantes depuis votre navigateur et découvrez comment nous protégeons nos clients des sites malveillants grâce à McAfee WebAdvisor et McAfee Web Control.

Découvrez comment les escrocs se font passer pour Windows Defender pour envoyer des applications Windows malveillantes en mode Push, ainsi que nos conseils de sécurité pour prévenir cette menace. Vos clients seront ravis d'apprendre que le composant cloud de Real Protect leur offre une protection proactive grâce à l'apprentissage automatique, tandis que McAfee WebAdvisor et McAfee Web Control les protègent contre les sites malveillants connus.

Découvrez les meilleures pratiques pour surveiller votre réseau et le protéger contre DarkSide, l'un des ransomwares les plus actifs ce trimestre. Cet article de blog propose en outre de nombreuses informations sur la couverture et la protection, notamment sur les plateformes de protection des terminaux, MVISION Insights, MVISION EDR et McAfee ENS.

Enfin, découvrez pourquoi les machines virtuelles présentent autant d'intérêt pour les cybercriminels et pourquoi les utilisateurs VMware affectés doivent appliquer des patchs sans perdre de temps. Si vous n'avez pas la possibilité d'installer immédiatement des patchs, nous vous donnons quelques conseils pratiques et vous rappelons que McAfee Network Security Platform propose des signatures pour les CVE en question.


RAPPORT

17


RANSOMWARE


MENACES CLOUD




Ressources

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/mcafee-atr-threat-report-a-quick-primer-on-cuba-ransomware/

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/mcafee-defenders-blog-cuba-ransomware-campaign/

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/how-to-stop-the-popups/

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/how-to-stop-the-popups/

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/scammers-impersonating-windows-defender-to-push-malicious-windows-apps/

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/darkside-ransomware-victims-sold-short/

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/are-virtual-machines-the-new-gold-for-cyber-criminals/

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/are-virtual-machines-the-new-gold-for-cyber-criminals/

Ressources

Pour suivre l'évolution des menaces et des recherches, consultez les ressources suivantes de notre équipe :

Tableau de bord MVISION Insights — Découvrez un aperçu de la seule solution proactive permettant de garder une longueur d'avance sur les menaces émergentes.

Centre sur les menaces de McAfee — Menaces actuelles les plus dévastatrices identifiées par notre équipe de recherche sur les menaces.

Twitter

Raj Samani

Christiaan Beek

John Fokker

Steve Povolny

Douglas McKee


RAPPORT

18

11-13 Cours Valmy - La Défense 792800 Puteaux, France+33 1 4762 5600www.mcafee.com/fr

McAfee et le logo McAfee sont des marques commerciales ou des marques commerciales déposées de McAfee, LLC ou de ses filiales aux États-Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. Copyright © 2021 McAfee, LLC. 4788_1021OCTOBRE 2021


RANSOMWARE


MENACES CLOUD




Ressources

https://www.mcafee.com/enterprise/fr-fr/home.html

https://www.mcafee.com/enterprise/fr-fr/lp/insights-preview.html

https://www.mcafee.com/enterprise/fr-fr/threat-center.html

https://twitter.com/Raj_Samani

https://twitter.com/christiaanbeek

https://twitter.com/John_Fokker

https://twitter.com/spovolny

https://twitter.com/fulmetalpackets

http://www.mcafee.com/fr

Documents

Rapport Advanced Threat Research