Comment déjouer une cyberattaque grâce à une alliance de technologies de cybersécurité

L’ensemble de vulnérabilités de Microsoft Exchange, connu sous le nom de ProxyLogon, a affecté des dizaines de milliers d’entreprises disposant de serveurs Exchange on-premise. Même si Microsoft a annoncé que la majorité des serveurs vulnérables sont désormais protégés par des correctifs, des experts avertissent que le simple fait de corriger les vulnérabilités ne suffit pas : les cybercriminels qui ont déjà obtenu l’accès aux serveurs peuvent toujours se trouver dans le réseau.

Antti Laatikainen, consultant en cybersécurité chez F-Secure, avait prédit, il y a quelques mois, un accroissement historique de violation de données en raison de ces vulnérabilités qui ont également attiré l’attention d’attaquants ayant recours aux ransomwares. Antti Laatikainen affirme que la facilité d’accès via ProxyLogon signifie que la majorité des entreprises vulnérables ont été attaquées et qu’elles peuvent seulement espérer que l’attaquant soit rapidement détecté.

Heureusement pour l’un de nos clients européens, c’est exactement ce qu’il s’est passé. 👇

Déjouer une attaque

En mars, une activité suspecte a été détectée dans le réseau d’une société cliente qui utilise nos solutions de protection endpoint & d’EDR. L’activité étant liée à des services critiques, le client voulait s’assurer que l’incident serait traité correctement. Plutôt que de traiter l’incident en interne, la société a choisi d’opter pour notre option “Elevate to F-Secure” afin de transmettre la gestion de l’incident à nos analystes de sécurité.

Après analyse, nos consultants ont découvert qu’entre le 9 et le 18 mars, un attaquant a tenté, après exploitation, de créer des centaines de fichiers malveillants sur le serveur Exchange de notre client. Malgré tous les efforts de l’attaquant, la quasi-totalité des fichiers (web shells utilisés par les attaquants pour obtenir l’accès à un serveur web) ont été bloqués par notre solution de protection endpoint, F-Secure Elements Endpoint Protection.

Quelques web shells n’ont cependant pas été détectés. L’attaquant a pu les utiliser pour exécuter des commandes supplémentaires. L’attaquant a notamment lancé l’invite de commande et exécuté la commande “whoami” afin de s’assurer que le contrôle du web shell avait été établi. Notre solution EDR, F-Secure Elements Endpoint Detection and Response, a détecté cette activité anormale et l’a signalée.

L’attaquant a également utilisé une commande PowerShell dans l’objectif de télécharger et installer la famille de ransomware NetWalker. DeepGuard, une couche de protection proactive de notre solution de protection endpoint qui surveille les comportements suspects des processus de fichiers, a détecté l’action de la commande comme malveillante et l’a bloquée.

Lorsque nos consultants ont pris connaissance du déroulement de l’incident, ils ont été en mesure de repousser l’attaque et de remédier au problème avant qu’il n’y ait de conséquence. Cependant, sans la mise en place des technologies de prévention et de détection, l’incident aurait eu des conséquences importantes.

Un ransomware bien connu…

Le ransomware Netwalker a été utilisé lors d’attaques contre des établissements publiques, des fournisseurs d’électricité, des agences gouvernementales, des industries et dans d’autres secteurs variés. Comme l’indique la société d’analyse blockchain Chainalysis, le ransomware a infecté au moins 305 victimes dans 27 pays.

Ces attaques ont rapportés gros !  En janvier, Chainalysis a indiqué avoir retracé plus de 46 millions de dollars de fonds provenant de rançons de Netwalker depuis les débuts du malware en août 2019. 

Netwalker était également, selon un rapport, la famille de ransomware la plus engagée dans la fuite de données tout au long de l’année 2020. Le groupe à l’origine de ce malware a exposé des données volées à 113 organisations entre janvier 2020 et janvier 2021.

En déjouant la tentative d’attaque de NetWalker, nous avons sauvé notre client d’un préjudice financier et d’un impact sur sa réputation. De plus, une enquête plus approfondie a révélé que si les tentatives d’attaques post-exploitation avaient réussi, le serveur aurait également été coopté dans un botnet de crypto-monnaie appelé Prometei.

La sécurité approfondie fonctionne

Cette situation est un exemple classique de la raison pour laquelle les organisations ont besoin d’une protection développée. La combinaison d’une protection endpoint et d’un EDR ont permis d’assurer la protection de notre client – l’un sans l’autre n’aurait pas suffit pour protéger notre client.

La protection endpoint a bloqué de manière proactive des centaines de web shells malveillants qui ont été lancés, avant même que notre client ne réalise ce qu’il se passait. Lorsque quelques web shells ont réussi à entrer dans le système, l’EDR a pu détecter l’activité de l’attaquant comme anormale et enregistrer des alertes. La protection endpoint a notamment bloqué l’installation d’un ransomware. De plus, les capacités d’enregistrement des événements de la solution EDR ont permis aux enquêteurs d’avoir une visibilité indispensable sur l’incident et ainsi d’utiliser leur expertise pour comprendre ce qu’il s’est passé afin de prendre les mesures appropriées.

Il ne faut pas oublier l’importance de la gestion des vulnérabilités. Une plateforme d’analyse des vulnérabilités, telle que F-Secure Elements Vulnerability Management, permet d’identifier les vulnérabilités et de les classer par ordre de priorité afin que vous puissiez appliquer des correctifs et minimiser votre surface d’attaque.

Enfin, les entreprises ont besoin d’experts qualifiés pour comprendre les alertes et les logs et savoir comment agir pour protéger le système. Les partenaires F-Secure qui ne possèdent pas ces compétences en interne peuvent, comme notre client européen, avoir recours à nos experts en cybersécurité lorsqu’ils en ont besoin. L’achat d’une solution de sécurité en tant que service signifie qu’une équipe entière d’experts en cybersécurité de renommée mondiale sera toujours à vos côtés.

F-Secure Elements Endpoint Detection and Response a révélé la chaîne complète des activités de l’attaquant

Schéma 1 : L’attaquant lance l’invite de commande et exécute la commande “whoami”.

Schéma 2 : F-Secure Elements EDR détecte les événements comme anormaux.

Schéma 3 : F-Secure Elements EDR dévoile toute la chaîne du processus, y compris les détails de “whoami” et des commandes PowerShell.

F-Secure Elements, la première plateforme cloud pour tous les besoins de sécurité de votre entreprise

Gérez tous vos besoins de sécurité à partir d’une seule console. F-Secure Elements vous offre la clarté, la flexibilité et la technologie dont vous avez besoin pour vous adapter à l’évolution des menaces et des besoins de votre entreprise.