Les attaques de ransomwares sont un problème majeur pour les organisations du monde entier, et la gravité de ce problème continue de s’intensifier.
Récemment, l’équipe de réponse aux incidents de Microsoft a enquêté sur les attaques de ransomware BlackByte 2.0 et a révélé la vitesse terrifiante et la nature dommageable de ces cyberattaques.
Les résultats indiquent que les pirates peuvent mener à bien l’ensemble du processus d’attaque, de l’accès initial aux dommages importants, en seulement cinq jours. Ils ne perdent pas de temps à infiltrer les systèmes, à crypter des données importantes et à exiger une rançon pour les libérer.
Ce délai raccourci pose un défi important aux organisations qui tentent de se protéger contre ces opérations nuisibles.
Le rançongiciel BlackByte est utilisé dans la phase finale de l’attaque, en utilisant une clé numérique à 8 chiffres pour crypter les données.
Pour mener à bien ces attaques, les pirates utilisent une puissante combinaison d’outils et de techniques. L’enquête a révélé qu’ils tirent parti des serveurs Microsoft Exchange non corrigés, une approche qui s’est avérée très fructueuse. En exploitant cette vulnérabilité, ils obtiennent un accès initial aux réseaux cibles et préparent le terrain pour leurs activités malveillantes.
Le ransomware utilise en outre des stratégies d’évidement de processus et d’évasion antivirus pour garantir un cryptage réussi et contourner la détection.
De plus, les shells Web les équipent d’un accès et d’un contrôle à distance, leur permettant de maintenir une présence au sein des systèmes compromis.
Le rapport a également souligné le déploiement de balises Cobalt Strike, qui facilitent les opérations de commandement et de contrôle. Ces outils sophistiqués donnent aux attaquants un large éventail de compétences, ce qui rend plus difficile pour les organisations de se défendre contre eux.
🔐 Gestion des accès privilégiés : apprenez à relever les principaux défis
Découvrez différentes approches pour relever les défis de la gestion des comptes privilégiés (PAM) et améliorer votre stratégie de sécurité des accès privilégiés.
Parallèlement à ces tactiques, l’enquête a révélé plusieurs autres pratiques troublantes utilisées par les cybercriminels. Ils utilisent des outils « vivants hors de la terre » pour se fondre dans les processus légitimes et échapper à la détection.
Le rançongiciel modifie les clichés instantanés de volume sur les machines infectées pour empêcher la récupération des données via des points de restauration système. Les attaquants déploient également des portes dérobées spécialement conçues, garantissant un accès continu aux attaquants même après la compromission initiale.
La recrudescence inquiétante des attaques de rançongiciels nécessite une action immédiate de la part des organisations du monde entier. En réponse à ces conclusions, Microsoft a fourni quelques recommandations pratiques.
Les organisations sont principalement invitées à mettre en œuvre des procédures de gestion des correctifs robustes, en veillant à ce qu’elles appliquent en temps opportun les mises à jour de sécurité critiques. L’activation de la protection antialtération est une autre étape essentielle, car elle renforce les solutions de sécurité contre les tentatives malveillantes de les désactiver ou de les contourner.