Le groupe de renongiciel Hive extorque 100 millions de dollars 1 300 victimes dans le monde, Les cybercriminels ont pntr dans des rseaux en utilisant des logins RDP

Les cybercriminels du groupe Hive ont attaqu plus de 1 300 entreprises dans le monde, extorquant environ 100 millions de dollars leurs victimes au cours des 18 derniers mois, selon le FBI. Le FBI (Federal Bureau of Investigation), la Cybersecurity and Infrastructure Security Agency (CISA) et le Department of Health and Human Services (HHS) a publi un avis conjoint afin de diffuser les indicateurs de compromission (IOC) et les techniques et procdures (TTP) connus et identifis par les enqutes du FBI.

Les cybercriminels ont pntr dans des rseaux en utilisant des logins RDP (Remote Desktop Protocol) vols des rseaux privs virtuels et d’autres protocoles de connexion rseau distance, selon les agences. Suite cette attaque, le FBI, la CISA et le HHS encouragent les organisations mettre en uvre les recommandations de la section Mitigations de son avis afin de rduire la probabilit et l’impact des incidents lis aux ranongiciels.

Le RDP est bas sur la famille de normes de protocole T-120, dont il constitue une extension. Un protocole capable d’utiliser plusieurs canaux virtuels distincts pour transporter les informations suivantes :

donnes de prsentation ;
communication avec le priphrique srie ;
informations sur les licences ;
donnes hautement chiffres, telles que l’activit du clavier et de la souris.

Le RDP est une extension du protocole de base T.Share. Plusieurs autres capacits sont conserves dans le cadre du RDP, telles que les caractristiques architecturales ncessaires la prise en charge des sessions multipoints. La transmission de donnes multipoint permet de transmettre en temps rel les donnes d’une application plusieurs parties.

L’une des raisons pour lesquelles Microsoft a dcid de mettre en uvre RDP des fins de connectivit dans Windows NT Terminal Server est qu’il constitue une base extensible permettant de dvelopper de nombreuses autres fonctionnalits. RDP fournit 64 000 canaux distincts pour la transmission de donnes. Cependant, les activits de transmission actuelles n’utilisent qu’un seul canal (pour le clavier, la souris et les donnes de prsentation).

RDP est conu pour prendre en charge de nombreux types diffrents de topologies de rseau, tels que RNIS, POTS. RDP est galement conu pour supporter de nombreux protocoles LAN, tels que IPX, NetBIOS, TCP/IP. La version actuelle de RDP ne fonctionne que sur TCP/IP.

Dans le cas de lattaque du groupe Hive, les cybercriminels ont contourn l’authentification multifactorielle et se sont introduits dans les serveurs FortiOS (le systme d’exploitation embarqu qui pilote les plateformes matrielles de Fortinet) en exploitant la CVE-2020-12812, un bug critique de contournement d’authentification que Fortinet a corrig il y a plus de deux ans.

Les cybercriminels utiliseraient galement la technique de phishing avec des pices jointes malveillantes, puis exploitent un certain nombre de vulnrabilits du serveur Microsoft Exchange. Une fois qu’ils se sont introduits dans le systme informatique de l’entreprise, les cybercriminels ont plusieurs mthodes leur disposition pour chapper la dtection. Ils identifient notamment les processus lis aux sauvegardes et aux outils antivirus, copient ces fichiers, puis mettent fin aux processus. Ils suppriment galement les journaux d’vnements de Windows et dsactiver Windows Defender.

Selon le FBI, les affilis de Hive exfiltrent probablement des donnes l’aide d’une combinaison de Rclone (un programme informatique open source, multithread, utilis pour dplacer des donnes vers un stockage dans le cloud. Ses capacits incluent la synchronisation, le transfert, le chiffrement, le cache, l’union, la compression et le montage). Et ils ne ciblent pas exclusivement les systmes Windows : Les dveloppeurs de Hive ont galement mis au point des variantes de ranongiciles pour Linux, VMware ESXi et FreeBSD.

Aprs avoir obtenu un accs initial, contourn les dispositifs de scurit et vol des informations sensibles, les cybercriminels passent au chiffrement. Pour ce faire, un fichier nomm *.key ncessaire au dchiffrement est cr directement la racine et uniquement sur la machine o il a t cr. Ils dposent ensuite une note de ranon, « HOW_TO_DECRYPT.txt », dans chaque rpertoire compromis avec un lien vers un service commercial accessible via un navigateur TOR pour des discussions avec un escroc serviable du paiement et de la date limite de paiement.

Mthodes d’attnuation

Le FBI, CISA et HHS recommandent aux organisations de mettre en uvre les mesures suivantes afin de limiter l’utilisation potentielle par des cybercriminels des techniques courantes de dcouverte des systmes et des rseaux et de rduire le risque de compromission par le ranongiciel Hive :

Vrifiez que les acteurs de Hive n’ont plus accs au rseau ;
Installez les mises jour des systmes d’exploitation, des logiciels et des micrologiciels ds qu’elles sont publies. Donnez la priorit aux correctifs pour les serveurs VPN, les logiciels d’accs distance, les logiciels de machines virtuelles, et les vulnrabilits connues. Envisagez de tirer parti d’un systme centralis de gestion des pour automatiser et acclrer le processus ;
Exigez un MFA rsistant au phishing pour autant de services que possible, en particulier pour le webmail, VPN, les comptes qui accdent aux systmes critiques et les comptes privilgis qui grent les sauvegardes.
- S’il est utilis, scurisez et surveillez le RDP ;
- Limiter l’accs aux ressources sur les rseaux internes, notamment en restreignant le RDP et en utilisant l’infrastructure de bureau virtuel ;
- Aprs avoir valu les risques, si vous estimez que le RDP est ncessaire sur le plan oprationnel, limitez les sources d’origine et exigez un MFA pour limiter le vol et la rutilisation des justificatifs d’identit ;
- sources d’origine et exigez un MFA pour limiter le vol et la rutilisation des informations d’identification ;
- Si le RDP doit tre disponible l’extrieur, utilisez un VPN, une infrastructure de bureau virtuel ou d’autres moyens pour authentifier et scuriser la connexion ;
- moyen d’authentifier et de scuriser la connexion avant de permettre RDP de se connecter aux priphriques internes ;
- Surveillez les journaux d’accs distance/RDP, appliquez le verrouillage des comptes aprs un certain nombre de tentatives afin de bloquer les campagnes de force brute ;
- de tentatives pour bloquer les campagnes de force brute, enregistrer les tentatives de connexion RDP et dsactiver les ports d’accs distance/RDP inutiliss ;
- Veillez configurer correctement les dispositifs et activer les fonctions de scurit ;
- Dsactivez les ports et protocoles non utiliss des fins professionnelles, tels que le port RDP 3389/TCP.
Conservez des sauvegardes hors ligne des donnes, et assurez rgulirement la sauvegarde et la restauration. En instaurant cette pratique, l’organisation s’assure qu’elle ne sera pas gravement interrompue ;
S’assurer que toutes les donnes de sauvegarde sont cryptes, immuables (c’est–dire qu’elles ne peuvent pas tre modifies ou supprimes) et qu’elles couvrent l’ensemble de l’infrastructure de donnes de l’organisation ;
Lensemble de l’infrastructure de donnes de l’organisation. Assurez-vous que vos donnes de sauvegarde ne sont pas dj infectes ;
Surveillez les rapports sur les cybermenaces concernant la publication d’identifiants de connexion VPN compromis et changez les mots de passe/rglages si ncessaire.