Les autorités mettent en garde particuliers et organisations contre une dangereuse campagne de ransomware (rançongiciel) qui a récemment fait des centaines de victimes.
Identifiant le ransomware sous le nom de Medusa, le CISA (l’équivalent de l’Anssi outre-Atlantique) et le FBI ont publié un avis commun avec des détails sur la manière dont ces attaques se sont déroulées.
Et sur la façon dont les gens peuvent se défendre contre elles.
Qu’est-ce que Medusa ?
Repéré pour la première fois en juin 2021, Medusa est une variante de ransomware-as-a-service (RaaS) qui cible les infrastructures critiques, notamment dans les secteurs de la médecine, de l’éducation, du droit, de l’assurance, de la technologie et de la fabrication. En utilisant ce RaaS, les pirates confient le travail à des sociétés affiliées qui exécutent les attaques proprement dites. Depuis le mois dernier, 300 victimes ont été dénombrées.
Medusa a commencé par être utilisé par ses auteurs pour mener des attaques. Mais au fil du temps, il a évolué vers un modèle d’affiliation. Dans ce modèle, ils lancent des attaques, et d’autres se concentrent sur la négociation de la rançon. Les développeurs recrutent généralement des affiliés sur les forums et les places de marché du dark web, leur offrant entre 100 et 1 million de dollars pour un travail exclusif.
Les affiliés compromettent une organisation en utilisant l’une des deux méthodes suivantes.
- Les campagnes de phishing constituent la première approche
- Mais les attaquants exploitent également des vulnérabilités logicielles non corrigées pour accéder aux ressources d’une entreprise.
Quels sont les outils utilisés par les criminels pour progresser dans le SI de l’entreprise victime ?
Une fois l’accès initial obtenu, les criminels utilisent toute une série d’outils pour progresser.
Il peut s’agir d’utilitaires tels que Advanced IP Scanner et SoftPerfect Network Scanner. Ils sont utilisés pour rechercher les utilisateurs et les systèmes vulnérables, ainsi que les ports ouverts à exploiter. Des outils tels que PowerShell et l’invite de commande Windows sont utilisés pour compiler une liste de ressources réseau et de fichiers.
L’objectif suivant est de se déplacer latéralement dans le réseau pour trouver des fichiers qui peuvent être volés et chiffrés. Pour ce faire, les attaquants utilisent des logiciels d’accès à distance tels que AnyDesk, Atera et Splashtop en combinaison avec le protocole Remote Desktop et PsExec. Lorsqu’ils trouvent un nom d’utilisateur et un mot de passe valides, ils utilisent PsExec pour exécuter certains fichiers et processus avec des privilèges au niveau du système.
Tout au long de l’attaque, les criminels doivent également couvrir leurs traces et échapper à la détection. Pour ce faire, ils peuvent exploiter des pilotes vulnérables pour être protégé des outils de détection (EDR). Un utilitaire connu sous le nom de Certutil est souvent utilisé pour éviter la détection lors de l’accès aux fichiers à chiffrer. En outre, les attaquants peuvent supprimer l’historique PowerShell pour effacer leurs lignes de commande.
Modèle de double extorsion
Comme beaucoup d’autres souches de ransomware, Medusa utilise un modèle de double extorsion. Les données volées sont non seulement chiffrées pour empêcher la victime d’y accéder. Mais les criminels menacent également de les rendre publiques si la rançon n’est pas payée. Les victimes sont invitées à répondre à la demande de rançon dans les 48 heures. Faute de quoi les attaquants les contacteront par téléphone ou par courrier électronique.
Un site de fuite de données de Medusa présente les demandes de rançon avec un compte à rebours jusqu’à ce que les informations soient rendues publiques. Mais avant même la fin du compte à rebours, Medusa fait la promotion de la vente des données volées auprès des acheteurs intéressés. Les victimes peuvent payer 10 000 dollars en crypto-monnaie pour ajouter un jour au compte à rebours.
Le responsable présumé de Medusa est un groupe appelé Spearwing, selon un rapport publié par Symantec au début du mois. Depuis le début de l’année 2023, le groupe a répertorié près de 400 victimes sur son site de fuite de données, le nombre réel étant probablement beaucoup plus élevé. Les attaquants utilisant Medusa ont demandé des rançons allant de 100 000 à 15 millions de dollars.
Comment se protéger de Medusa ?
Compte tenu des dégâts causés par Medusa et d’autres variantes de ransomware, comment pouvez-vous vous protéger ?
L’avis commun propose plusieurs conseils, principalement destinés aux grandes organisations. En voici quelques-uns :
- Apportez les correctifs nécessaires aux failles de sécurité connues et critiques. Assurez-vous que vos systèmes d’exploitation, vos logiciels et vos microprogrammes sont tous corrigés et mis à jour.
- Segmentez vos réseaux. La segmentation de vos réseaux empêche les attaquants qui compromettent un segment ou un dispositif de faire de même avec d’autres segments et dispositifs.
- Filtrez le trafic réseau. En filtrant le trafic de votre réseau, vous pouvez mieux empêcher des comptes et des personnes inconnus ou non fiables d’accéder à des services à distance sur vos systèmes internes.
- Désactivez les ports inutilisés. Vous vous assurez ainsi que les attaquants ne pourront pas compromettre votre réseau par le biais d’un port ouvert et vulnérable.
- Établissez un plan de récupération pour protéger les données critiques. Veillez à stocker plusieurs copies des données sensibles ou confidentielles dans un endroit physiquement séparé de votre réseau principal.
- Activer l’authentification multifactorielle. Exigez l’authentification multifactorielle pour tous les comptes et services qui accèdent au webmail, aux VPN et aux systèmes critiques.
- Surveillez toute activité inhabituelle sur le réseau. Utilisez des outils capables d’enregistrer et de signaler tout le trafic réseau pour rechercher et vous alerter en cas d’activité inhabituelle ou anormale, y compris les mouvements latéraux sur votre réseau.