Blogue
/
Confinement des ransomwares

Ransomware Hive : comment limiter son impact et protéger votre organisation

Raghu Nandakumara
,
Directeur principal du marketing des solutions industrielles
September 29, 2021
23 min. de lecture

Le groupe de rançongiciels Hive est actif depuis la mi-2021 et a gagné en notoriété grâce à l'attaque du Système de santé Memorial. L'attaque, qui constitue l'incident le plus marquant de Hive à ce jour, a entraîné la fermeture de l'ensemble de la plateforme en ligne de Memorial, obligeant l'organisation à rediriger les patients en soins d'urgence vers des établissements extérieurs à son réseau. Rien que cette année, c'est la troisième ransomware attaque qui a directement touché des civils — à suivre Pipeline Colonial et JBS Foods.

Qu'est-ce qui différencie Hive d'une solution moins sophistiquée ransomware des attaquants qui adoptent généralement une approche « spray and pray » (c'est-à-dire verrouiller autant de systèmes que possible le plus rapidement possible sans s'intéresser à la compromission des données) ?

Le groupe de rançongiciels Hive utilise un système de « double extorsion » qui consiste à exfiltrer les données critiques d'une cible avant de les verrouiller, en utilisant les deux comme leviers pour faire grimper le coût de la rançon, une tactique qui gagne du terrain auprès des attaquants.

Étant donné que l'attaquant se concentre à la fois sur la perturbation des opérations et sur l'accès à des données précieuses, le niveau d'interaction et de persévérance requis va au-delà des attaques de rançongiciels les plus courantes axées sur les perturbations. Cela est probablement dû au temps et aux efforts supplémentaires nécessaires pour déterminer quelles données sont suffisamment précieuses pour justifier leur exfiltration.

Comment fonctionne Hive Ransomware

Hive utilise diverses tactiques et techniques pour exécuter une attaque :

1. L'attaque commence par une attaque de phishing contre les utilisateurs ayant accès à l'environnement de la victime ou par des e-mails ciblés qui demandent à l'utilisateur de télécharger involontairement le charge utile malveillante.

2. La charge utile est souvent une balise Cobalt Strike (qui, curieusement, était à l'origine un outil utilisé par les testeurs de stylos pour simuler des attaques). Elle facilite la persistance, le rappel, les mouvements latéraux et la distribution de la charge utile secondaire.

3. Ce qui suit est dumping d'informations d'identification sur l'hôte local et mappage de l'environnement Active Directory.

4. Mouvement latéral et la propagation du malware est facilitée par l'utilisation du protocole RDP (Remote Desktop Protocol) de Microsoft. Cependant, le groupe Hive est également connu pour exploiter des vulnérabilités afin de faire progresser son attaque. L'exploitation d'une vulnérabilité de gestion des terminaux ConnectWise Automate, si cet outil était détecté dans le réseau de la victime, en est un bon exemple, ce qui constitue une indication supplémentaire du risque que représentent les fournisseurs de logiciels pour la chaîne d'approvisionnement.

5. Le téléchargement de la charge utile secondaire est facilité par les instructions envoyées à la balise Cobalt Strike une fois le canal de rappel sortant établi. Cette charge utile exécute les actions malveillantes qui, en fin de compte, facilitent la demande de rançon.

6. La charge utile exécute les actions suivantes :

  • Stopper les services susceptibles d'entraver la progression ou de générer des alertes
  • Énumération de tous les éléments de stockage joints pour les fichiers susceptibles d'être pertinents
  • Exfiltration de fichiers spécifiques
  • Chiffrement local des mêmes fichiers
  • Création d'une demande de rançon

Comment Illumio peut vous aider

Après leur entrée initiale dans l'entreprise, les malwares et les rançongiciels utilisent généralement des mouvements latéraux pour se propager dans un environnement, en exploitant l'accès aux informations d'identification utilisateur appropriées.

Hive utilise le protocole RDP (Remote Desktop Protocol) pour se déplacer latéralement. Le protocole RDP est souvent laissé accessible pour faciliter à la fois l'accès à distance et l'administration à distance. Il s'agit donc d'un vecteur d'attaque initial populaire par ransomware.

Dans ce contexte, les organisations peuvent prendre quelques mesures pour améliorer leurs défenses contre le ransomware Hive en utilisant Noyau Illumio:

  • Moniteur : Déployez des agents Illumio sur tous les terminaux et surveillez les flux de trafic. Cela fournira visibilité sur tous les flux vers et depuis les terminaux et peut être utilisé par le Security Operations Center (SOC) pour identifier les connexions RDP en dehors des modèles de comportement normaux et les connexions sortantes vers des acteurs malveillants connus (par exemple, l'infrastructure de commande et de contrôle Hive).
  • Limiter l'exposition : Plus l'accès entre les charges de travail est ouvert, plus les rançongiciels peuvent se propager rapidement. Sachant qu'un RDP omniprésent n'est pas nécessaire, tirez parti Limites d'application pour bloquer le RDP par défaut entre les points de terminaison. Des règles d'exception peuvent être écrites pour garantir que l'accès depuis les hôtes administratifs et les passerelles d'accès à distance est toujours autorisé. Cela devrait limiter la rapidité avec laquelle le ransomware peut se propager.
  • Les organisations peuvent encore améliorer ce contrôle en tirant parti d'Illumio Core Segmentation adaptative des utilisateurs fonctionnalité, qui garantit que seuls les utilisateurs associés à un groupe Active Directory autorisé peuvent utiliser le RDP à partir des points de connexion dédiés.
  • Pour limiter l'efficacité du canal de rappel C2, implémentez un concept de limite similaire pour refuser l'accès à toute adresse IP publique ou FQDN associé à Hive et maintenez-les régulièrement à jour.
  • Contient : Lorsque le SOC identifie une charge de travail susceptible d'être infectée, un manuel de réponse peut être exécuté pour implémenter une charge de travail de quarantaine sur la cible, garantissant ainsi que les seuls accès à celle-ci proviennent de machines d'investigation et d'outils de criminalistique autorisés.

Il est difficile de protéger votre organisation contre les rançongiciels. Mais Illumio Core permet d'arrêter facilement les rançongiciels, atténuant ainsi de manière significative l'impact d'une violation.

Pour en savoir plus :

Sujets connexes

Aucun article n'a été trouvé.

Articles connexes

9 raisons d'utiliser Illumio pour lutter contre les rançongiciels
Confinement des ransomwares

9 raisons d'utiliser Illumio pour lutter contre les rançongiciels

Comment la visibilité en temps réel et les commandes simples d'Illumio réduiront rapidement vos principales sources de risques de rançongiciels, telles que les ports RDP et SMB inutilisés.

En savoir plus
CCPA et Zero Trust Security pour les informations personnelles : santé et éducation
Confinement des ransomwares

CCPA et Zero Trust Security pour les informations personnelles : santé et éducation

En savoir plus
Comment Brooks utilise Illumio pour empêcher les rançongiciels de se propager
Confinement des ransomwares

Comment Brooks utilise Illumio pour empêcher les rançongiciels de se propager

Découvrez pourquoi Brooks a choisi Illumio Zero Trust Segmentation pour garantir la fiabilité de ses activités de vente au détail et de commerce électronique.

En savoir plus
Aucun article n'a été trouvé.

Supposez Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus