Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’évolution des ransomwares : comment les cybercriminels élargissent leurs tactiques avec la collecte de mots de passe et l’exploitation des identifiants - Analyse Netwrix

septembre 2024 par Ilia Sotnikov, Security Strategist at Netwrix

Ces derniers temps, le navigateur Chrome est devenu une cible privilégiée du groupe cybercriminel Qilin, réputé pour ses attaques sophistiquées par ransomware. En plus de chiffrer les fichiers critiques et de perturber les systèmes, ce groupe se distingue par sa capacité à exfiltrer et exploiter les identifiants stockés dans Chrome. Cette méthode représente une évolution préoccupante dans les tactiques des cyberattaquants, faisant peser une menace accrue sur la sécurité des utilisateurs et des entreprises, notamment en facilitant des intrusions ultérieures et des actes de chantage numérique.

Ilia Sotnikov, Security Strategist chez Netwrix, a fait le commentaire suivant  :

«  Ces dernières années, les opérateurs de ransomware ont adopté la stratégie de la double extorsion. Dans un premier temps, ils chiffrent les systèmes pour les rendre inutilisables et interrompre les processus opérationnels. Ensuite, ils exfiltrent et “prennent en otage” des données précieuses pour l’organisation, telles que des informations financières, des communications internes, des secrets commerciaux ou des données personnelles de clients. Ils exigent alors une rançon en échange de deux promesses : déchiffrer les systèmes et supprimer les données dérobées sans les publier.

Le groupe de ransomware Qilin fait de même. Cependant, un rapport de Sophos révèle qu’en plus de dérober les données de l’organisation, ils collectent également les mots de passe des utilisateurs finaux. Jusqu’à présent, cet aspect n’intéressait pas particulièrement les groupes de ransomware, car il n’offrait pas de voie directe vers la monétisation. Pourtant, ces informations sont précieuses pour les cybercriminels et peuvent être exploitées de diverses manières.

Premièrement, le navigateur Chrome peut stocker des identifiants donnant accès à des dizaines, voire des centaines de ressources professionnelles et personnelles. Cela offre aux attaquants l’opportunité d’analyser les outils et services utilisés par l’organisation, de mieux comprendre ses processus et de cibler leurs attaques de manière plus précise, augmentant ainsi la probabilité de paiement de la rançon.

Deuxièmement, il sera difficile pour une organisation de déployer rapidement l’authentification multi-facteurs (MFA) sur tous les services qu’elle utilise. Il est également peu probable que les utilisateurs modifient immédiatement leurs mots de passe sur les différents comptes et services qu’ils utilisent. Cela permet au groupe de ransomware d’exploiter les identifiants volés lors de futures attaques, en utilisant ces informations comme vecteur d’attaque initial pour infiltrer l’environnement, que ce soit directement ou via des campagnes de phishing ciblées et d’ingénierie sociale.

Enfin, il existe un marché sur le dark web pour les comptes et mots de passe compromis. Pour les groupes de ransomware, cela peut constituer une activité secondaire rentable, en plus de leur activité principale d’extorsion.

L’équipe de Sophos a également décrit certaines étapes de l’attaque, facilitant ainsi la détection et la prévention d’attaques similaires par Qilin ou d’autres acteurs malveillants. La collecte des identifiants des utilisateurs a été réalisée par l’ajout de nouveaux objets de stratégie de groupe (GPO), permettant d’intégrer un nouveau script de connexion dans le partage système SYSVOL sur un contrôleur de domaine Active Directory, exécuté à chaque connexion d’utilisateur. Les attaquants ont ensuite effacé les journaux d’événements de sécurité sur le contrôleur de domaine pour dissimuler leur activité. Les équipes de sécurité doivent donc mettre en place des mécanismes de détection et d’alerte pour toute activité suspecte, notamment les modifications non autorisées des GPO, l’effacement des journaux d’événements sur les serveurs critiques, et toute modification inhabituelle des fichiers systèmes critiques comme le partage SYSVOL sur les contrôleurs de domaine.  »


Voir les articles précédents

    

Voir les articles suivants