L’attaque la plus classique en 4 étapes
-
- La compromission initiale de l’interface d’administration du protocole de résolution des problèmes (RDP), qui fait suite à l’obtention du mot de passe du compte utilisateur via une attaque par force brute, puis le téléchargement et l’exécution d’un script Windows PowerShell, pour créer une porte dérobée (backdoor).
- Le téléchargement de nouveaux outils via le serveur compromis à l’aide du PowerShell, tels que Mimikatz, un outil en libre-service très utilisé par les hackers pour voler les informations d’identification des utilisateurs. Des informations ensuite utilisées pour tenter de se déplacer latéralement vers les contrôleurs de domaine, l’épine dorsale de l’opération.
- Déplacement latéraux du malware dans le réseau en utilisant un scanner de réseau pour découvrir d’autres terminaux.
- Déclenchement du ransomware après la fin des opérations préliminaires, pour assurer la compromission d’un maximum de terminaux et maximiser l’impact de l’attaque.
« Même les groupes de hackers modestes ont recours à des attaques de plus en plus sophistiquées »
« Aujourd’hui, les cyber-assaillants ont tendance à prendre leur temps pour passer d’une étape à l’autre, dans le but de rester le plus discrets possible mais aussi pour se garder le temps de voler l’ensemble des données dans tous les recoins du réseau ciblé. C’est pourquoi vous avez besoin de laisser le honeypot fonctionner pendant au moins quelques mois, voire une année entière. »
Combinées, la complexification des techniques d’intrusion et la discrétion des cyber-attaquants rendent les attaques particulièrement difficiles à détecter. D’autant plus que ce mode opératoire n’est pas seulement le fait de groupes malveillants sophistiqués, liés à un Etat-nation – que l’on appelle APT pour « Advanced Persistant Threat » (menace persistante avancée). « Malgré la complexité des attaques que nous avons identifiées, les outils utilisés étaient relativement facile d’accès. Rien qui n’a été utilisé n’avait été développé spécifiquement pour s’introduire dans le réseau de la cible. On peut donc penser que les attaquants n’étaient pas des groupes APT mais que, simplement, même les groupes de hackers les plus modestes ont recours à des attaques de plus en plus sophistiquées. »