HOR diffère des rançongiciels traditionnels en ce sens qu’il cible des faiblesses spécifiques de votre système qui sont découvertes manuellement par des humains. Un exemple utilise un service élevé dans votre environnement. Microsoft affirme que HOR implique une implication humaine à chaque étape de l’attaque, et les failles du système ou les erreurs humaines peuvent être exploitées pour élever les privilèges, accéder à des données plus sensibles et, finalement, gagner un gain plus important. Ce qui rend HOR encore plus dangereux, c’est que les attaquants ne quittent généralement pas le réseau même après avoir payé. Ils continuent d’essayer de monétiser leur accès en déployant de nouveaux logiciels malveillants jusqu’à ce qu’ils soient complètement nettoyés.
Microsoft a souligné que RaaS a récemment commencé à graviter vers un modèle d’extorsion double, où vos données sont non seulement cryptées, mais les attaquants menacent également de les rendre publiques jusqu’à ce que vous les payiez. La société a également noté que les campagnes HOR tirent généralement parti des configurations héritées et des erreurs de configuration, ainsi que d’une mauvaise hygiène des informations d’identification, pour élever leurs privilèges. Ainsi, les experts en sécurité des organisations doivent passer à un modèle de confiance zéro où ils recherchent non seulement des alertes individuelles, mais ont également une vue globale de l’ensemble de la posture de sécurité et des incidents.
Microsoft a également alerté les organisations sur le modèle de partenaire RaaS décrit ci-dessous :
Dans le passé, nous avons observé une relation étroite entre le vecteur de pénétration initial, les outils et la sélection de la charge utile du ransomware dans chaque campagne d’une seule souche de ransomware. Le modèle de partenaire RaaS, qui permet à davantage de criminels, quelle que soit leur expertise technique, de déployer des ransomwares créés ou gérés par quelqu’un d’autre affaiblit ce lien. À mesure que le déploiement de ransomware devient une économie, il devient de plus en plus difficile d’attribuer la compétence utilisée dans une attaque particulière aux développeurs de charge utile de ransomware.
[…] Le RaaS est un accord entre un opérateur et un affilié. L’opérateur RaaS développe et maintient des outils pour prendre en charge les opérations de ransomware, y compris des liens qui génèrent des charges utiles de ransomware et des portails de paiement pour se connecter avec les victimes.
[…] De cette manière, RaaS crée un seul type de charge utile ou de campagne, qui est une seule famille de ransomwares ou un ensemble d’attaquants. Ce qui se passe, cependant, c’est que l’opérateur RaaS vend l’accès à la charge utile du ransomware et au décrypteur à un affilié qui effectue l’intrusion et l’escalade des privilèges et est responsable du déploiement de la charge utile réelle du ransomware. Les parties se partagent ensuite les bénéfices. En outre, les développeurs et les opérateurs RaaS peuvent également utiliser la charge utile à des fins lucratives, la vendre et mener leurs campagnes avec d’autres charges utiles de ransomware, ce qui complique davantage la situation lorsqu’il s’agit de traquer les criminels derrière ces activités.
Pour lutter contre ces menaces croissantes et sophistiquées , Microsoft recommande aux organisations de passer à un modèle de confiance zéro, de créer une hygiène des informations d’identification, d’auditer l’exposition des informations d’identification, de durcir dans le cloud, de prioriser le déploiement des mises à jour Active Directory, de réduire la surface d’attaque, d’atténuer les angles morts de sécurité, et renforcer les périmètres, en particulier les ressources accessibles sur Internet. Enfin, il a également encouragé les clients à utiliser Microsoft 365 Defender Unified Investigation et la visibilité inter-domaines pour détecter et répondre de manière proactive aux menaces. Microsoft prévoit de parler davantage de cette direction lors de l’événement numérique de la conférence Microsoft Security Summit le 12 mai, vous pouvez vous y inscrire ici .
Laisser un commentaire