REvil : décryptage du plus terrible des ransomware
En menaçant de divulguer des données volées même après paiement de leur demande de rançon initiale, le groupe de cybercriminels REvil, aka Sodinokibi, fait coup double. Zoom sur les procédés, techniques et méthodes d’un opérateur de rançongiciel aussi efficace que malveillant.
REvil est un opérateur de ransomware-as-a-service (RaaS) qui a extorqué de grandes sommes d’argent à des organisations du monde entier au cours de l’année écoulée. Son nom – contraction de Ransomware Evil – a été inspiré par la série de jeux vidéo – adaptés en films – Resident Evil. Selon des rapports récents de sociétés de sécurité, il s’agit de la menace de ransomware la plus répandue et le groupe derrière aux manettes redouble d’efforts d’extorsion en volant également des données business et en menaçant de les publier. REvil, également connu sous le nom de Sodinokibi, est apparu pour la première fois en avril 2019 et a pris de l’importance après qu’un autre gang spécialisé dans le RaaS, appelé GandCrab, a fermé son service. Au début de REvil, les chercheurs et les entreprises de sécurité l’ont identifié comme une souche de GandCrab, ou du moins ont établi de multiples liens entre les deux. Un membre présumé du groupe, utilisant le pseudo Unknown, a confirmé dans une récente interview que le ransomware n’était pas une nouvelle création et qu’il était construit sur une base de code plus ancienne que le groupe avait acquise.
Les développeurs derrière les opérations RaaS comptent sur d’autres cybercriminels comme étant des « affiliés » pour leur distribuer le ransomware. En fait, les développeurs de ransomwares gagnent entre 20% et 30% des revenus illégaux, le reste allant aux affiliés qui font les démarches pour accéder aux réseaux d’entreprise et déployer le malware. Plus une opération RaaS est réussie, plus elle a de chances d’attirer des affiliés qualifiés et si un opérateur malveillant plie boutique, les affiliés passent rapidement à une autre. Cela s’est produit avec GandCrab dans le passé et plus récemment avec le groupe Maze, dont les membres ont annoncé leur retraite il y a quelques semaines et dont les affiliés ont rapidement adopté une nouvelle famille de ransomwares appelée Egregor, également connue sous le nom de Sekhmet.
Quel succès pour REvil ?
En septembre, l’équipe de réponse à incidents d’IBM Security X-Force a signalé qu’un problème de cybersécurité sur quatre pour laquelle elle était appelée à la rescousse pour de la remédiation cette année dans les réseaux des clients était une infection par ransomware. De plus, une infection par ransomware sur trois impliquait REvil / Sodinokibi. « La souche de ransomware que IBM Security X-Force a vue le plus fréquemment en 2020 est Sodinokibi, un modèle d’attaque de ransomware-as-a-service qui a capitalisé cette année sur les attaques mixtes de ransomware et d’extorsion », ont déclaré les chercheurs à l’époque.
« Ce malware a été impliqué dans des attaques de ransomware et de vol de données et, dans certains cas, ses opérateurs ont volé et mis aux enchères des données sensibles sur Internet alors qu’ils n’étaient pas en mesure de contraindre les victimes à payer. Sodinokibi représente également 29% de tous les mobilisations de lutte contre les ransomwares d’IBM Security X-Force en 2020, ce qui suggère que les acteurs de Sodinokibi sont plus habiles à accéder aux réseaux de victimes que d’autres souches de ransomwares. »
Vol de données, extorsion et promesses creuses
REvil est l’un des programmes de ransomwares déployés lors de campagnes menées par des opérateurs malveillants, similaires à Ryuk, WastedLocker et autres. Cela signifie qu’après l’effraction, les pirates utilisent une variété d’outils et de techniques pour cartographier le réseau, effectuer des mouvements latéraux, obtenir des privilèges d’administrateur de domaine et déployer le ransomware sur tous les ordinateurs afin de maximiser l’impact.
Puisque REvil est distribué par différents affiliés, les vecteurs d’accès initiaux diffèrent entre les e-mails de phishing avec des pièces jointes malveillantes aux informations d’identification RDP (Remote Desktop Protocol) compromises et l’exploitation des vulnérabilités dans divers services publics. Par exemple, l’année dernière, les pirates de REvil ont eu accès aux systèmes en exploitant une vulnérabilité connue d’Oracle Weblogic (CVE-2019-2725). Selon le rapport de Coveware, REvil est désormais distribué principalement via des sessions RDP compromises (65%), du phishing (16%) et des vulnérabilités logicielles (8%). Unknown a également confirmé dans son interview que de nombreux affiliés de REvil utilisent des attaques par force brute pour compromettre RDP.
REvil se distingue des autres programmes de ransomware par son utilisation de l’échange de clés Diffie-Hellman à courbe elliptique au lieu de RSA et Salsa20 au lieu d’AES pour crypter les fichiers. Ces algorithmes de chiffrement utilisent des clés plus courtes, sont très efficaces et incassables s’ils sont correctement mis en œuvre. Le ransomware tue certains processus sur les machines infectées, notamment les clients de messagerie, SQL et autres serveurs de base de données, les programmes Microsoft Office, les navigateurs et d’autres outils susceptibles de maintenir des fichiers importants verrouillés ou sauvegardés dans la RAM. Il supprime ensuite les shadows copies Windows et autres sauvegardes pour empêcher la récupération de fichiers.
Comment se défendre contre REvil
Les organisations devraient toujours sécuriser leur accès à distance avec des informations d’identification solides et une authentification double facteur et envisager de rendre ces services disponibles via VPN uniquement. Tous les serveurs, applications et appliances exposés publiquement doivent être tenus à jour et régulièrement analysés pour détecter les vulnérabilités, les erreurs de configuration et les comportements suspects. Les protections contre les attaques par force brute bloquant les tentatives de connexion excessives avec des informations d’identification incorrectes doivent également être activées lorsque cela est possible.
Dans les réseaux locaux, il est recommandé d’effectuer les actions suivantes:- Bloquer les communications SMB et RPC inutiles entre les points d’extrémité qui peuvent être utilisés pour lesmouvements latéraux ;- Surveiller les comptes à privilèges pour détecter tout comportement suspect ;- Réduire la surface d’attaque sur les terminaux avec des règles de contrôle d’accès plus strictes sur les dossiers et les processus ;- Sécuriser les réseaux partagés ;- Former les employés à la détection des tentatives de phishing ;- Mettre en place un processus de sauvegarde des données qui stocke les sauvegardes hors site et tester que la restauration à partir de sauvegardes peut être effectuée au moment opportun ;- Etablir des plans de réponse aux incidents clairement définis afin que des mesures puissent être prises immédiatement si une attaque est détectée. Les parties prenantes impliquées dans ce processus doivent être clairement établies tout comme leurs responsabilités. Si le NIST a publié un projet de guide sur la détection et la réponse aux ransomwares,
Le secteur de la santé particulièrement exposé
« Certaines industries, comme la santé, peuvent sembler être plus fortement ciblées que d’autres, en raison des données sensibles qu’elles détiennent et de leur relative intolérance aux temps d’arrêt », ont expliqué les chercheurs de Coveware. « Cependant, ce que nous avons observé au fil du temps, c’est que la présence de vulnérabilités bon marché à exploiter, qui se trouvent être courantes dans une industrie donnée, est ce qui fait apparaître une concentration de l’industrie ».
Les mêmes spécialistes estiment que les services professionnels tels que les cabinets juridiques ou comptables sont particulièrement vulnérables. Les 4,2 millions de sociétés de services professionnels américaines représentent environ 14% de toutes les entreprises du pays, mais représentent 25% des attaques. « Ces entreprises sont plus susceptibles de prendre la menace des ransomwares moins au sérieux », ont déclaré les chercheurs. « Ils laissent généralement des vulnérabilités comme RDP ouvertes à Internet et sont victimes beaucoup plus régulièrement que les entreprises d’autres secteurs. Il est essentiel que les petites entreprises de services professionnels reconnaissent qu’il n’existe pas d’être «trop petit» pour être ciblé. L’industrie de la cyber-extorsion ne fonctionne pas comme ça. Si vous présentez une vulnérabilité bon marché à Internet, vous serez attaqué. C’est juste une question de quand, pas si. »
Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram