Les temps de séjour varient de 10 jours à quatre semaines dans ces attaques.
Le ransomware Avaddon, le ransomware-as-a-service (RaaS) qui combine le cryptage avec le vol et l’extorsion de données, constitue une menace sérieuse pour les organisations du monde entier.
C’est selon l’équipe de Sophos Rapid Response. Il a publié un guide pour les équipes informatiques décrivant ce à quoi elles peuvent s’attendre si elles sont touchées par le ransomware Avaddon. Le guide vise à aider les administrateurs informatiques et d’autres personnes à comprendre ce qu’il faut rechercher. De plus, il décrit les mesures immédiates qu’ils peuvent prendre pour renforcer la sécurité.
Le ransomware Avaddon existe depuis 2019, mais il est devenu plus important et plus agressif depuis juin 2020.
Peter Mackenzie est responsable de la réponse aux incidents chez Sophos.
Peter Mackenzie de Sophos
«Des affiliés ou des clients du service ont été observés déployant Avaddon sur un large éventail de cibles dans plusieurs pays, souvent par le biais de campagnes de spam et de phishing malveillants contenant des fichiers JavaScript piégés», a-t-il déclaré. «Les organisations touchées par le ransomware Avaddon font face à plus que le simple cryptage des données. Il y a aussi la menace d’exposition des données publiques sur le site de fuite d’Avaddon et, plus récemment, le risque d’attaques par déni de service distribué (DDoS) perturbant les opérations. Ces tactiques sont conçues pour accroître la pression sur les victimes de la rançon demandée. »
Si vous avez été touché
Si une organisation soupçonne qu’elle a été touchée et qu’elle n’a pas les outils en place pour l’arrêter, elle doit déterminer quels appareils ont été touchés et les isoler immédiatement, a déclaré Mackenzie.
«L’option la plus simple consiste simplement à débrancher le câble réseau ou à désactiver l’adaptateur Wi-Fi», a-t-il déclaré. «Si les dommages sont plus répandus que quelques appareils, envisagez de le faire au niveau du commutateur et de mettre hors ligne des segments de réseau entiers au lieu d’appareils individuels. N’éteignez les appareils que si vous ne parvenez pas à déconnecter le réseau. »
Les prochaines étapes comprennent l’évaluation des dommages. De plus, si vous n’avez pas de plan d’intervention en cas d’incident en place, déterminez qui devrait être impliqué dans la gestion de l’incident, a déclaré Mackenzie.
Si les intrus sont dans votre réseau depuis un certain temps, ils auront probablement accès aux e-mails, par exemple. »
Les répondeurs aux incidents de Sophos ont constaté des temps de séjour des intrus allant de 10 jours à quatre semaines lors d’attaques impliquant la sortie du ransomware Avaddon.
Conseils d’enquête Avaddon
Lors de l’enquête, il est important de garder à l’esprit:
- Les attaquants sont probablement dans votre réseau depuis quelques jours, voire des semaines
- Les attaquants pourraient utiliser diverses méthodes pour pénétrer dans votre réseau
- Ils ont un accès sécurisé aux comptes d’administrateur de domaine, ainsi qu’à d’autres comptes d’utilisateurs
- Les attaquants auront scanné votre réseau. Ils savent combien de serveurs et de points de terminaison vous avez. En outre, ils savent où vous stockez vos sauvegardes, vos données et applications stratégiques
- Ils sont susceptibles d’avoir téléchargé et installé des portes dérobées. Cela leur permet d’aller et venir sur votre réseau, et d’installer des outils supplémentaires
- Ils essaieront d’exfiltrer les données de l’entreprise avant l’événement principal du ransomware
- Ils auront tenté d’identifier la solution de sécurité utilisée sur le réseau et s’ils peuvent la désactiver
De plus, le lancement du ransomware n’est pas la fin, a déclaré Mackenzie.
«Les attaquants d’Avaddon peuvent utiliser les outils qu’ils ont installés précédemment pour rester sur le réseau afin de surveiller la situation et même vos communications par e-mail pour voir comment vous répondez à la sortie du ransomware», a-t-il déclaré. «Un e-mail au PDG indiquant que tout ira bien parce qu’il n’a pas chiffré les sauvegardes sur le serveur X pourrait être un désastre si l’attaquant le lisait et avait toujours accès à ce serveur. L’attaquant peut également attendre que vous récupériez pour lancer une deuxième attaque pour vraiment souligner qu’il peut continuer à le faire jusqu’à ce que vous payiez.
Une autre tactique
Les attaquants du ransomware Avaddon ont une autre tactique conçue pour pousser les cibles à payer, a déclaré Mackenzie. Ils lancent une attaque DDoS pour tenter de perturber les opérations et les communications.
Sophos suggère des étapes proactives pour améliorer votre sécurité informatique à l’avenir. Celles-ci incluent la connaissance des indicateurs d’attaque pour arrêter les attaques de ransomware avant qu’elles ne soient lancées. De plus, informez vos employés sur ce qu’il faut rechercher en termes de phishing et de spam malveillant. De plus, mettez en place des politiques de sécurité strictes.
Il est important d’avoir un modèle de sécurité de défense en profondeur à plusieurs niveaux.
«Faire face à une cyberattaque est une expérience stressante», a déclaré Mackenzie. «Il peut être tentant d’éliminer la menace immédiate et de fermer le livre sur l’incident, mais la vérité est que ce faisant, il est peu probable que vous ayez éliminé toutes les traces de l’attaque. Il est important que vous preniez le temps d’identifier comment les attaquants sont entrés, d’apprendre de toute erreur et d’apporter des améliorations à votre sécurité. Si vous ne le faites pas, vous courez le risque que le même attaquant ou un autre puisse venir vous faire cela à nouveau la semaine prochaine. «