Les attaques de ransomware ciblées en plusieurs étapes contre une infrastructure critique, conçues pour maximiser les dommages et les coûts de récupération, sont de plus en plus courantes. Une analyse d’une attaque capturée par un pot de miel montre les trois étapes de base de l’intrusion, de la persistance et du mouvement latéral, et de la détonation simultanée sur autant de systèmes que possible.

L’attaque a été capturée par la recherche sur les pots de miel de Cybereason en 2020. Semblable à une étude de 2018, la recherche a utilisé un pot de miel conçu pour ressembler à une entreprise d’électricité ayant des activités en Amérique du Nord et en Europe. En 2018, le système a été infiltré de portes dérobées suggérant que l’attaquant avait l’intention de vendre l’accès sur le dark web. Cette année, les chercheurs « ont identifié plusieurs attaquants exécutant des opérations de ransomware impliquant le vol de données, le vol des informations d’identification de l’utilisateur et le mouvement latéral sur le réseau de la victime pour compromettre autant de points de terminaison que possible ». Combinées, la recherche indique que les cybercriminels ciblent de plus en plus les entreprises d’infrastructures critiques avec des attaques de plus en plus dangereuses.

Le pot de miel Cybereason est apparu comme faisant partie du réseau d’un fournisseur de production et de transmission d’électricité, y compris les environnements IT, OT et HMI. L’accès initial a été obtenu par les attaquants via des interfaces d’administration à distance et le forçage brutal d’un compte administrateur. (Le rapport n’indique pas la force du mot de passe du compte, bien que nous puissions supposer que MFA n’était pas impliqué.)

Par le biais de ce compte, les attaquants ont téléchargé un script PowerShell qui a créé un compte d’utilisateur de porte dérobée appelé «Admin». Cela a assuré un accès futur et créé une persistance qui a permis aux attaquants de télécharger des outils d’attaque supplémentaires. L’un d’eux était Mimikatz, qui a été utilisé pour voler les informations d’identification de l’utilisateur pour un mouvement latéral au-delà du serveur compromis initial. Dans ce cas, il a échoué car aucune des informations d’identification obtenues n’a pu accéder au domaine …