Stopper REvil : comment Illumio peut perturber l'un des groupes de rançongiciels les plus prolifiques

Les groupes de rançongiciels vont et viennent. Mais rares sont ceux qui ont le nom de REvil. Également connu sous le nom de Sodinokibi, le groupe et ses filiales sont responsables de certaines des violations les plus audacieuses des 12 à 18 derniers mois. Il s'agit notamment de raids sur un cabinet d'avocats célèbre et un géant de la transformation de la viande, qui a rapporté 11 millions de dollars aux attaquants. Parmi les autres campagnes notables, citons la attaque sophistiquée contre la société de logiciels informatiques Kaseya et le compromis entre le fabricant taïwanais et le client d'Apple Ordinateur Quanta.

Ces deux derniers se distinguent par leurs demandes de rançon scandaleuses, respectivement 70 millions de dollars et 50 millions de dollars. Mais aussi parce qu'ils ont exploité les chaînes d'approvisionnement mondiales, quoique de différentes manières, pour atteindre leurs objectifs.

Et tandis que REvil a récemment été perturbé par des arrestations et des sanctions, le groupe est aurait la poursuite des activités. La bonne nouvelle, c'est qu'avec Illumio à portée de main pour cartographier, surveiller et bloquer les connexions réseau à haut risque, vous pouvez atténuer la menace REvil, et celle des itérations qui suivront si le groupe finit par disparaître.

Pourquoi les attaques contre la chaîne d'approvisionnement sont-elles dangereuses ?

Le raid d'avril 2021 contre Quanta Computer était intelligent. En tant que partenaire de fabrication sous contrat clé d'Apple, l'entreprise a accès à des plans et à des adresses IP de produits hautement sensibles. Il est également, selon REvil, peut-être moins bien protégé que le géant de la technologie de Cupertino. Lorsque Quanta a refusé de payer, le groupe s'est adressé à Apple pour demander la rançon, faute de quoi ils divulgueraient ou vendraient les documents volés. Nous ne savons pas s'ils ont réussi, mais toutes les données relatives au raid a ensuite été retiré depuis le site de la fuite REvil, selon certaines informations.

Que nous apprend cet incident ? Tout d'abord, votre organisation peut devenir ransomware/REvil target s'il fait affaire avec des partenaires de grande valeur. Ensuite, votre sécurité dépend de celle de vos fournisseurs les moins sûrs.

Comment fonctionne REvil ?

L'attaque de Quanta elle-même contenait des éléments uniques. Mais le schéma général, qui consiste à exploiter des logiciels ou des services vulnérables et orientés vers l'extérieur, a été utilisé dans d'innombrables campagnes.

Dans ce cas, REvil a ciblé une vulnérabilité du logiciel Oracle WebLogic. Cela a permis aux acteurs de la menace de forcer un serveur compromis à télécharger et à exécuter des logiciels malveillants sans aucune action de l'utilisateur. Il y a eu deux étapes principales :

1. Les attaquants ont établi une connexion HTTP avec un serveur WebLogic non corrigé, puis l'ont forcé à télécharger la variante du ransomware Sodinokibi. Ils ont utilisé une commande PowerShell pour télécharger un fichier nommé « radm.exe » à partir d'adresses IP malveillantes, puis ont forcé le serveur à enregistrer le fichier localement et à l'exécuter.
2. Les attaquants ont tenté de chiffrer les données du répertoire de l'utilisateur et de perturber la récupération des données en supprimant les « copies instantanées » des données chiffrées créées automatiquement par Windows.

Comment arrêter REvil ?

Une bonne hygiène informatique, telle que l'application rapide de correctifs aux terminaux à haut risque, peut contribuer à réduire la surface d'attaque des entreprises. Mais au-delà de cela, des mesures plus complètes peuvent être prises au niveau du réseau.

Les entreprises doivent comprendre que même les canaux fiables et les logiciels tiers peuvent devenir des vecteurs de malwares et de rançongiciels. Pour atténuer ce risque, il faut segmenter toutes les solutions prêtes à l'emploi du reste de l'environnement, en particulier des outils de sécurité tels que la détection et la réponse des terminaux (EDR) et la détection et la réponse étendues (XDR).

Les entreprises devraient également envisager identifier et restreindre toutes les connexions sortantes non essentielles. Cela signifie qu'il faut tout bloquer sauf les communications vers les adresses IP de destination autorisées, y compris sur les ports 80 et 443. Cela perturbera la tâche des acteurs malveillants qui tentent de « se connecter » aux serveurs de commande et de contrôle (C&C) afin de télécharger des outils supplémentaires pour faire progresser les attaques. Il bloquera également les tentatives d'exfiltration de données hors de l'organisation vers des serveurs placés sous leur contrôle.

Comment Illumio peut vous aider

Illumio est avancé Technologie de segmentation Zero Trust propose une gestion des politiques simple et évolutive pour protéger les actifs critiques et isoler les rançongiciels. Illumio permet aux équipes de sécurité de gagner en visibilité sur les flux de communication et les voies à haut risque. Ensuite, nous appliquons un contrôle complet de la segmentation jusqu'au niveau de la charge de travail afin de réduire considérablement votre surface d'attaque et de minimiser l'impact des rançongiciels.

En trois étapes simples, Illumio peut protéger votre organisation contre les rançongiciels tels que REvil :

1. Cartographiez toutes les communications sortantes essentielles et non essentielles
2. Déployez rapidement une politique pour restreindre les communications à grande échelle
3. Surveillez toutes les connexions sortantes qui ne peuvent pas être fermées
   

Pour plus de conseils sur les meilleures pratiques visant à renforcer la résilience face aux rançongiciels :

• Lisez notre livre électronique, Comment arrêter les attaques de rançongiciels
• Téléchargez l'infographie, 3 étapes pour arrêter les rançongiciels
• Inscrivez-vous pour L'expérience Illumio des ateliers pratiques pour découvrir par vous-même la visibilité basée sur les risques et les capacités de segmentation Zero Trust d'Illumio