En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 
 

 

 

Actualité des entreprises

Sophos détaille le fonctionnement jour par jour d’une attaque par le ransomware Conti

Publication: Mars 2021

Partagez sur
 
Dans une nouvelle série d’articles en trois volets, les chercheurs et les équipes d’intervention de Sophos dévoilent les différentes étapes d’une attaque à l’aide du ransomware Conti lorsque les cyberattaquants pénètrent au sein d’un réseau d’entreprise avec l’intention de dérober des données...
 

Conti est un ransomware dit de « double extorsion » opéré par des attaquants qui dérobent les données de leurs cibles avant de les chiffrer, puis menacent de les exposer sur le site « Conti News » si l’entreprise ne paie pas la rançon exigée.

Sophos Rapid Response, l’équipe d’intervention en cas d’incidents de Sophos qui œuvre 24h/24 et 7j/7, a été appelée récemment afin de contenir, neutraliser et enquêter sur un incident de ce type qui s’est déroulé sur une période de cinq jours entre la compromission initiale du système et la reprise de l’activité. Sophos en a tiré une série d’articles qui retrace l’attaque jour par jour, fournit des informations techniques sur le comportement de l’attaque Conti, et propose des recommandations.

La série en trois volets, intitulée « The Realities of Conti Ransomware », comprend :

- A Conti Ransomware Attack Day-By-Day : Une analyse d’une attaque Conti qui comprend des Indicateurs de compromission (IoC) et des tactiques, techniques et procédures (TTP).

- Conti Ransomware : Evasive By Nature : Une présentation technique par les chercheurs de SophosLabs.

- What to Expect When You’ve Been Hit with Conti Ransomware – Un guide indispensable pour les administrateurs IT qui font face à l’impact d’une attaque Conti, accompagné de conseils sur les mesures immédiates à prendre et une liste de 12 points afin de permettre d’enquêter sur l’attaque. La liste détaille aux administrateurs tout ce dont sont capables les attaquants Conti lorsqu’ils ont pénétré sur le réseau et les principales TTP qu’ils sont susceptibles d’appliquer. Cet article inclut une liste d’actions recommandées.

« Au cours des attaques les adversaires sont capables de s’adapter et de réagir à des situations changeantes en temps réel, » déclare Peter Mackenzie, manager pour Sophos Rapid Response. « Dans ce cas précis, les attaquants ont accédé simultanément à deux serveurs. Ainsi, lorsque l’entreprise ciblée a détecté et mis hors service l’un des deux croyant avoir arrêté l’attaque à temps les attaquants sont passés sur le second serveur et ont poursuivi leur attaque. Le propre des incursions menées par des êtres humains est qu’il existe un « plan B » et cela nous force à ne pas oublier que ce n’est pas parce qu’une partie de l’activité suspecte sur un réseau s’est arrêtée que cela signifie que l’attaque est terminée. »

À ce jour, le site « Conti News » a publié des données dérobées à plus de 180 victimes. Sophos a mis au point un profil des victimes en se fondant sur les données publiées sur Conti News (couvrant environ 150 entreprises dont les données avaient été publiées au moment de l’analyse).

« Dans les entreprises qui ne disposent pas d’une équipe spécifique en charge de la sécurité IT, ce sont souvent les administrateurs informatiques qui se retrouvent sous le feu d’une attaque par ransomware, » ajoute M. Mackenzie. « Ce sont eux qui arrivent au travail un matin pour s’apercevoir que rien n’est accessible et qui trouvent une demande de rançon menaçante sur leur écran, parfois suivie d’e-mails de menaces, voire d’appels téléphoniques. En nous fondant sur nos expériences directes en matière de chasse aux menaces, nous avons développé une liste d’actions recommandées qui aideront les administrateurs IT, durant les premières heures et les premiers jours aussi éprouvants que stressants qui suivent une attaque du ransomware Conti, à trouver de l’aide et à jeter les bases d’un système mieux sécurisé à l’avenir. »

Conseils aux défenseurs à appliquer immédiatement

- Couper les protocoles de bureau à distance (RDP) utilisant Internet pour empêcher les cybercriminels d’accéder aux réseaux

- Si l’accès à un RDP est requis, recourir à une connexion VPN

- Utiliser une sécurité en couches pour empêcher, contrer et détecter les cyberattaques, y compris des capacités de détection et d’intervention au niveau des points d’entrée (EDR) et des équipes d’intervention managées qui surveillent les réseaux 24h/24 et 7j/7

- Prendre connaissance des cinq signes avant-coureurs qui indiquent la présence d’un attaquant pour stopper les attaques par ransomware

- Préparer un plan de réponse aux incidents efficace et le mettre à jour en fonction des besoins. S’adresser à des experts extérieurs pour demander de l’aide, assurer un suivi des menaces ou pour intervenir en urgence en cas d’incident si nécessaire.

https://www.sophos.com/

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: