Il aura fallu 3 jours à des cybercriminels pour prendre d’assaut un système informatique factice
Selon de récents tests réalisés par des équipes de chercheurs en cybersécurité, les réseaux industriels sont menacés grandement par des cyberattaques de type rançongiciel.
Cette conclusion a été donnée suite à une expérience que ces chercheurs ont initié dans le but de voir à quel point les systèmes informatiques sont exposés. Le résultat est impressionnant, car, les cybercriminels ont prouvé qu’il ne leur fallait que peu de temps pour réussir à s’infiltrer dans ces réseaux à travers des vulnérabilités critiques que même les chercheurs pourraient ignorer.
Les infrastructures qui ont servi de leurres ont été conçues de sorte à mettre en évidence les mêmes problèmes que rencontrent les structures habituelles. En parlant notamment des mots de passe moins solides, de contrôle de postes à distance connecté à Internet, et d’autres pratiques générales observée dans le secteur. Ces derniers ont mis en ligne l’infrastructure factice en début de l’année 2020. Et les pirates informatiques, au bout de 3 jours avaient déjà découvert le réseau et tentés plusieurs fois d’y accéder. Certains parmi eux sont arrivés à le compromettre en utilisant notamment une campagne d’attaques au rançongiciel, par lequel ils sont arrivés à s’introduire dans le réseau et dérober certains identifiants de connexion. « Très tôt après le lancement du « honeypot », la capacité du ransomware a été placée sur chaque machine compromise », indique Israel Barak, le responsable de la sécurité de l’information chez Cybereason, l’entreprise qui a initié ce test.
C’est en se servant de certaines d’administration à distance tel que le RDP qu’ils ont réussi à placer leur logiciel malveillant dans le réseau. Et cela leur a permis de se connecter pour contrôler certains bureaux à distance. Une fois cette étape en complète, les cybermalveillants créaient une porte dérobée en direction de serveur compromis. Pour se faire, ces derniers se sont servis de programme PowerShell supplémentaires, à savoir Mimikatz, grâce à quoi ils ont réussi à dérober les identifiants de connexion utile pour la suite de leur activité. Par la suite, les cybers malveillants ont continué l’analyse du réseau dans le but de découvrir autant de points d’accès possible et de récolter les identifiants au fur et à mesure qu’ils en découvraient encore.
Les spécialistes de la sécurité informatique ont déduit de cette attaque informatique que le danger que représentait cette exposition était double. En effet, en plus exécuter un programme malveillant de rançonnage, les pirates informatiques ont prouvé qu’ils pouvaient toujours continuer à collecter des informations sensibles tels que les mots de passe et les noms d’utilisateurs. Des informations qu’ils peuvent utiliser comme moyen de pression lors des négociations avec la Victime du réseau corrompu, dans la mesure où celle-ci ne voudrait pas céder au chantage. « Ce n’est qu’une fois les autres étapes de l’attaque terminées que le ransomware se répand sur tous les terminaux compromis simultanément. C’est un trait commun aux campagnes de ransomware à plusieurs étapes, qui visent à amplifier l’impact de l’attaque sur la victime », explique le spécialiste de Cybereason, Israel Barak.
Par ailleurs, on peut tout simplement noter que certains cybercriminels ont découvert le piège, quand les attaques se sont multipliées contre le réseau. Pendant que certains essayaient tant bien que mal de s’introduire dans le réseau pour s’en accaparer, d’autres cybermalveillants se sont contentés tout simplement de faire une reconnaissance du système et cela à chaque fois que le test a été lancé.
Au-delà des tests qui cherchaient à déterminer les potentiels problèmes que pourrait être confronté un tel réseau, il n’en demeure pas moins que le danger n’était pas négligeable lors des différentes attaques informatiques. On peut tout simplement essayer d’imaginer ce qui pourrait arriver si c’était bel et bien le réseau d’un fournisseur d’électricité.
Un autre point important a été observé. Les cybercriminels ont tendance à beaucoup de s’appuyer sur les programmes de rançonnage, lorsqu’ils veulent s’en prendre à des infrastructures, surtout quand ils ne peuvent pas facilement les compromettre. Le rapport des chercheurs de Cybereason nomme cette situation de « barrage constant d’attaques sur le secteur ». Les conséquences en terme de risque vont gagner en intensité de plus en plus. D’un point de vue simpliste, même les améliorations au niveau de la composition des mots de passe et des méthodes d’accès sont des natures à renforcer la sécurité des infrastructures. Ce n’est qu’après avoir maîtriser les bases que l’on peut essayer de complexifier les choses.
Accédez maintenant à un nombre illimité de mot de passe :