A10 Networks : Comment Zero Trust aurait pu arrêter le logiciel malveillant Ransomware de DarkSide

A10 Networks : Comment Zero Trust aurait pu arrêter le logiciel malveillant Ransomware de DarkSide

560 420 2SB - Distributeur à valeur ajoutée - Solutions de Cybersécurité

Si vous habitez sur la côte Est des Etats-Unis, vous avez certainement dû remarquer que le prix de l’essence a augmenté .
Et si vous avez prêté la moindre attention aux nouvelles, vous saurez pourquoi: le vendredi 7 mai, une attaque de ransomware contre l’ un des plus grands opérateurs de gazoducs du pays, Colonial Pipeline, a poussé l’entreprise à fermer l’ensemble de ses consoles. réseau et, par conséquent, le pipeline lui-même.

Ce pipeline , qui mesure plus de 5 500 milles de long et transporte plus de 100 millions de gallons chaque jour, transporte 45% de l’essence, du diesel et d’autres carburants de la côte Est.
Quelques jours après la fermeture, des pénuries de carburant généralisées ont commencé avec une station-service sur cinq à Atlanta déclarant être en panne de carburant dans la soirée du mardi 11 mai.

L’ attaque du ransomware était l’œuvre d’un groupe de piratage russe ou d’Europe de l’Est nommé DarkSide et, selon Bloomberg, malgré les premiers rapports affirmant que Colonial Pipeline n’avait pas l’intention de payer la rançon, la société a en fait payé presque immédiatement à hauteur de près de 5 millions de dollars en crypto-monnaie Bitcoin.
En fait, il s’agissait d’une rançon relativement modeste; pour les entreprises de la taille de Colonial Pipeline, les rançons sont généralement de l’ordre de 25 millions de dollars et plus.
En échange du paiement, Colonial Pipeline a reçu un outil de décryptage de ransomware qui était si lent que l’entreprise a été obligée de s’appuyer sur ses propres sauvegardes pour restaurer ses systèmes.

Le 13 mai, Colonial Pipeline a annoncé qu’il redémarrait le pipeline, mais que l’atteinte de sa pleine capacité prendrait plusieurs jours, de sorte que la disponibilité réduite du carburant s’est poursuivie pendant environ une semaine de plus.

Sans surprise, comme pour le papier hygiénique au début de 2020, une vague d’achat panique d’essence a commencé sur la côte Est, et cela a bizarrement conduit la Commission américaine de sécurité des produits de consommation à publier un avertissement selon lequel les Américains ne devraient pas remplir les sacs en plastique avec de l’essence.

La montée de Darkside

Le groupe de piratage DarkSide est apparu pour la première fois comme une menace de cybersécurité importante en août 2020 lorsqu’il a publié un communiqué de presse indiquant:

Nous sommes un nouveau produit sur le marché, mais cela ne veut pas dire que nous n’avons aucune expérience et que nous venons de nulle part.

Nous avons reçu des millions de dollars de bénéfices en nous associant à d’autres crypto-bloqueurs bien connus.

Nous avons créé DarkSide parce que nous n’avons pas trouvé le produit parfait pour nous. Maintenant nous l’avons.

Communiqué de presse DarkSide. (À partir de https://www.bleepingcomputer.com/news/security/DarkSide-new-targeted-ransomware-demands-million-dollar-ransoms/)

Communiqué de presse DarkSide. (À partir de https://www.bleepingcomputer.com/news/security/DarkSide-new-targeted-ransomware-demands-million-dollar-ransoms/)

Une fois qu’un groupe comme DarkSide parvient à pénétrer un réseau, il peut copier toutes les données qu’il trouve sur ses propres serveurs, puis crypter les données de la victime en place à l’ aide d’un ransomware .
Si les données sont privées ou commercialement sensibles, les pirates publient une partie des données volées sur un site Web qu’ils contrôlent pour démontrer leur réussite.

DarkSide indique généralement clairement que si la rançon n’est pas payée, il publiera toutes les données en ligne pendant au moins six mois, donc même si la victime peut restaurer avec succès à partir de sauvegardes, il y a toujours une sérieuse incitation à payer.

Si la victime paie, DarkSide, comme la plupart des criminels de ransomware, promet de fournir un outil de décryptage pour récupérer les données cryptées.
De plus, comme indiqué ci-dessus, même lorsque les cybercriminels fournissent un outil de décryptage, rien ne garantit qu’il fonctionnera suffisamment bien pour corriger l’attaque du ransomware.

 

Légende: Une preuve DarkSide d'exfiltration de contenu sensible. (À partir de https://www.bleepingcomputer.com/news/security/darkside-new-targeted-ransomware-demands-million-dollar-ransoms/)

Légende: Une preuve DarkSide d’exfiltration de contenu sensible. (À partir de https://www.bleepingcomputer.com/news/security/darkside-new-targeted-ransomware-demands-million-dollar-ransoms/)

Vulnérabilité des infrastructures américaines

Bien que les attaques de ransomwares contre les entreprises et les services américains ne soient pas nouvelles, l’ampleur et les conséquences de l’attaque du Colonial Pipeline soulignent vraiment à quel point l’infrastructure américaine est vulnérable et, par conséquent, le gouvernement a été poussé à prendre des mesures.

Eric Goldstein, directeur adjoint exécutif de la division de la cybersécurité à la Cybersecurity and Infrastructure Security Agency du Department of Homeland Security, ou CISA, a commenté :

«Nous sommes engagés avec l’entreprise et nos partenaires interinstitutions face à la situation. Cela souligne la menace que représentent les ransomwares pour les organisations, quelle que soit leur taille ou leur secteur. Nous encourageons chaque organisation à prendre des mesures pour renforcer sa posture de cybersécurité afin de réduire son exposition à ces types de menaces. »

Les cibles de DarkSide sont les réseaux d’entreprises exécutant Microsoft Windows et le groupe affirme qu’ils ne cibleront pas la médecine (hôpitaux, hospices), l’éducation (écoles, universités) et les organisations à but non lucratif.

Il est intéressant de noter que la réponse du gouvernement américain à l’attaque contre Colonial Pipeline a peut-être dérangé DarkSide, ce qui peut expliquer pourquoi ils ont comparativement réduit la rançon. Leur dernier communiqué de presse semble également un peu moins confiant que leurs versions habituelles (notez que toutes les fautes d’orthographe et de ponctuation sont dans l’original):

Nous sommes apolitiques, nous ne participons pas à la géopolitique, n’avons pas besoin de nous lier à un gouvernement défini et de chercher d’autres nos motivations. Notre objectif est de gagner de l’argent. et ne pas créer de problèmes pour la société. À partir d’aujourd’hui, nous introduisons la modération et vérifions chaque entreprise que nos partenaires souhaitent chiffrer pour éviter les conséquences sociales à l’avenir.

Étant donné que ce type d’attaque contre les infrastructures nationales n’est pas nouveau, on se demande pourquoi les organisations ne se défendent-elles pas avec ce qui est devenu la meilleure pratique de la technologie de l’information pour sécuriser les réseaux – le modèle Zero Trust .

Faites confiance à Zero Trust

Le modèle Zero Trust comprend quatre composants que les entreprises et les gouvernements devraient utiliser pour défendre leurs réseaux:

  • Créez des micro-segments et des micro-périmètres de réseau pour restreindre le flux de trafic et limiter autant que possible les privilèges et l’accès des utilisateurs excessifs.
  • Renforcez la détection et la réponse aux incidents grâce à des analyses et à une automatisation complètes.
  • Intégrez facilement des solutions sur des réseaux multifournisseurs afin qu’ils puissent travailler ensemble de manière transparente, permettant la conformité et une cybersécurité unifiée . Les solutions doivent également être faciles à utiliser afin que la complexité supplémentaire puisse être supprimée.
  • Offrez une visibilité complète et centralisée sur les utilisateurs, les appareils, les données, le réseau et les flux de travail. Cela inclut également la visibilité de tous les canaux cryptés.

Fondamentalement, le modèle Zero Trust est basé sur le fait de ne faire confiance à personne ou à quoi que ce soit sur votre réseau.
Cela signifie que l’accès au réseau n’est pas accordé sans que le réseau sache exactement qui vous êtes.
Cet accès est contrôlé en plusieurs points du réseau, à l’aide de micro-périmètres, pour s’assurer qu’aucun utilisateur non autorisé ne se déplace latéralement sur le réseau.
Mais pour faire fonctionner un modèle Zero Trust, il doit être soutenu par une inspection et des analyses approfondies du trafic pour combler ce qui est essentiellement l’angle mort du modèle.

La clé de cette approche est l’utilisation de solutions d’inspection TLS / SSL qui déchiffrent et analysent le trafic réseau chiffré pour garantir la conformité aux politiques et la confidentialité.
En surveillant le trafic crypté pour détecter les charges utiles de logiciels malveillants et les communications réseau suspectes ainsi que l’exfiltration de données contrôlées (par exemple, les numéros de carte de crédit et de sécurité sociale), l’inspection TLS / SSL permet au modèle Zero Trust de faire ce qu’il est censé faire.
faire – protéger les réseaux contre les menaces internes et externes sans discrimination.

Si votre organisation n’a pas adopté une stratégie Zero Trust combinée à une inspection approfondie du trafic TLS / SSL , le moment est venu de commencer à repenser votre position en matière de sécurité, car les acteurs de la menace comme Darkside ne disparaîtront pas de sitôt.

Source : A10 Networks

Pour plus d’informations concernant la solution A10 Networks

Contactez-nous
Share
A10 Networks : Horizon 2021 Sommet mondial des partenaires A10 Affinity
CoreLight : Aperçu de la réponse de Corelight Lab à une vulnérabilité HTTP critique

Start Typing