Selon les chercheurs de Huntress, le nouveau gang de rançongiciels INC n’a pas mis plus d’une semaine – et peut-être moins – pour pénétrer et chiffrer les systèmes informatiques d’une organisation.
Bien qu’ils aient pu voir ce qui s’est passé sur trois serveurs infectés de l’organisation non identifiée, les chercheurs n’ont pas été en mesure de déterminer comment les attaquants ont obtenu l’accès – et plus précisément comment le gang a obtenu les informations d’identification des employés. Mais ils ont pu construire une image intéressante pour que les défenseurs apprennent comment fonctionne ce gang particulier.
Le premier jour, les attaquants se sont brièvement connectés au serveur 1 avec des informations d’identification valides. Environ quatre heures et demie plus tard, des identifiants de compte valides ont été utilisés pour accéder au même système via Windows Remote Desktop Protocol (RDP). Pendant environ 30 minutes, les attaquants ont recueilli des informations sur le système.
Le deuxième jour, il n’y a eu qu’une brève connexion au serveur 2. Le lendemain, le serveur 2 a été de nouveau accédé. Mais cette fois, de nombreuses commandes d’archivage 7-Zip ont été exécutées pour collecter et organiser les données en vue de leur exfiltration. L’attaquant a également utilisé des outils natifs tels que Wordpad, Notepad et Microsoft Paint pour afficher le contenu des documents et des fichiers image/JPEG.
Le quatrième jour, le cybercriminel a de nouveau accédé au serveur 2 via RDP et a continué à lancer des commandes de collecte et de transfert de données, comme il l’avait fait la veille.
Le cinquième jour, il a accédé au serveur 3 via RDP pendant seulement six minutes, avec peu d’activité observée dans la télémétrie des terminaux. Rien ne s’est passé le sixième jour.
Mais le septième jour, au lieu de se reposer, le cybercriminel a frappé. Il a accédé au serveur 3 via RDP, installé un scanner de réseau gratuit appelé Advanced IP Scanner et un client SSH et telnet gratuit appelé PuTTY qui peut être utilisé pour les transferts de fichiers. Environ trois heures après la connexion initiale au serveur 3, l’attaquant a exécuté des commandes d’accès aux informations d’identification sur les trois serveurs, qui indiquaient toutes l’utilisation de lsassy.py, un outil Python permettant d’extraire à distance les informations d’identification sur un ensemble d’hôtes.
Environ quatre heures après la connexion initiale au serveur 3, le cybercriminel a lancé un certain nombre de commandes de copie en succession rapide, exécutant peut-être un fichier de commandes ou un script, pour pousser l’exécutable de chiffrement de fichier vers plusieurs terminaux au sein de l’infrastructure informatique. Ces commandes de copie ont été suivies en succession rapide par une série similaire de commandes via les utilitaires wmic.exe et PSExec de Windows (ce dernier a été renommé) pour lancer l’exécutable de chiffrement de fichiers sur chacun de ces terminaux.
Que peut-on en conclure ? « Il y a souvent une activité considérable qui conduit au déploiement de l’exécutable de chiffrement de fichiers, comme l’accès initial, l’accès aux informations d’identification et l’élévation des privilèges, ainsi que l’inventaire et la cartographie de l’infrastructure », notent les chercheurs. « En cas de vol de données (mise en scène et exfiltration), cela peut très souvent être observé bien avant le déploiement de l’exécutable de chiffrement de fichiers. »
Le rapport complet de Huntress (en anglais) peut être téléchargé ici.
Adaptation et traduction française par Renaud Larue-Langlois.
