Experienced engineer writing data center disaster recovery plan on laptop to provide rapid restoration of service, limiting disruption and minimizing interruptions to normal operations

L’erreur d’un groupe de ransomwares a permis la récupération des données de 12 entreprises américaines

Lucas Morel

La découverte d’artefacts provenant du logiciel de sauvegarde utilisé par le gang INC a permis de récupérer des données cryptées.

Douze entreprises américaines touchées par le groupe de ransomware INC ont pu récupérer des données cryptées après qu’une entreprise de cybersécurité a découvert l’infrastructure de stockage cloud où le gang stockait ce qu’il avait volé.

Des chercheurs de Cyber ​​Centaurs, basé en Floride, ont déclaré jeudi avoir profité d’une faille dans la sécurité opérationnelle du gang : ils ont trouvé des artefacts laissés par Restic, un utilitaire de sauvegarde open source légitime que le gang utilise pour crypter et exfiltrer les données des victimes dans des environnements de stockage cloud qu’il contrôle. En supposant que le gang réutilise régulièrement l’infrastructure basée sur Restic, il a été possible de trouver un fournisseur de stockage cloud anonyme où les données volées étaient déversées.

Malheureusement, Andrew von Ramin Mapp, directeur général de Cyber ​​Centaurs, admet que le travail de son entreprise n’était probablement qu’un « inconvénient » pour le gang, car il peut facilement louer une nouvelle infrastructure cloud.

  • examinez et auditez vos sauvegardes. Si vous avez un programme de sauvegarde régulier, y a-t-il une activité inattendue ou inexpliquée ? Von Ramin Mapp note que les escrocs sont connus pour chronométrer l’exfiltration de données pour correspondre aux sauvegardes hors site de l’entreprise afin de cacher leur travail ;
  • surveillez les données cryptées quittant vos environnements et voyez où elles vont. Ces données vont-elles vers une adresse IP inattendue ?
  • assurez-vous que les logiciels de sauvegarde et les serveurs sont mis à jour dès que les correctifs sont publiés. Les escrocs profitent de tout type de logiciel non corrigé, y compris les applications de sauvegarde.

« Probablement très peu » de responsables de la sécurité de l’information se rendent compte que leur propre logiciel de sauvegarde est utilisé contre eux, a déclaré von Ramin Mapp.

Selon Trend Micro, le gang INC a vu le jour en juillet 2023. Une version Linux de son binaire de ransomware a été repérée cinq mois plus tard. Une tactique courante au cours de ses premières années consistait à exploiter les vulnérabilités de Citrix Netscaler ADC et de Netscaler Gateway, et les chercheurs de Check Point Software affirment également que le gang utilise des campagnes de spear phishing pour capturer les informations d’identification des utilisateurs. Selon Cyber ​​Centaurs, dans les réseaux plus petits ou plus plats, les opérateurs INC s’appuient souvent sur Restic pour l’exfiltration des données avant le chiffrement ; dans des environnements plus vastes ou plus complexes, le gang privilégie l’utilisation de l’infrastructure de sauvegarde, telle que Veeam, déjà en place.

Cyber ​​Centaurs a été appelé lorsque le logiciel de détection et de réponse des points finaux d’un client américain l’a alerté d’une exécution active d’un ransomware sur un serveur SQL de production. Le processus a été rapidement isolé et il s’est avéré qu’il s’agissait de la variante RainINC.

Cependant, en regardant plus en profondeur, les enquêteurs ont découvert que plusieurs systèmes contenaient des traces de Restic, notamment des fichiers binaires renommés, des scripts PowerShell exécutant Restic sur une infrastructure de compartiment cloud de style S3, des variables de configuration de référentiel et des commandes de sauvegarde basées sur une liste de fichiers.

Bien que Restic n’ait pas été utilisé pour l’exfiltration dans cette attaque particulière, les Cyber ​​Centaurs soupçonnaient le gang de l’utiliser régulièrement, sur la base de modèles observés dans d’autres incidents. Il soupçonnait également que les infrastructures utilisées par les escrocs ne seraient probablement pas démantelées, même après la fin des négociations ou après que les entreprises victimes aient effectué les paiements.

Dans cet esprit, l’équipe de réponse aux incidents a développé un script d’énumération personnalisé pour identifier certains modèles permettant d’identifier l’infrastructure de compartiment cloud de type S3 vers laquelle les données volées pourraient être destinées. Le script a parcouru une liste organisée d’identifiants de référentiel candidats dérivés d’artefacts Restic précédemment observés. Pour chaque candidat, les variables d’environnement ont été définies pour correspondre au style de configuration utilisé par l’acteur menaçant, y compris le point de terminaison du référentiel et le mot de passe de chiffrement. Restic a ensuite été chargé de répertorier les instantanés disponibles dans un format structuré, permettant aux enquêteurs d’analyser les résultats sans interagir avec les données sous-jacentes.

Le script évitait explicitement toute opération susceptible d’altérer un référentiel suspect ou d’être interprétée comme destructrice. Ce que les chercheurs ont effectué était une énumération médico-légale, et non une intrusion, souligne Cyber ​​Centaurs.

« Les référentiels ont été accessibles en utilisant les propres outils et la sémantique de configuration de l’attaquant, sans exploitation, modification ou interruption », indique le rapport. « En traitant l’infrastructure de l’attaquant comme un élément de preuve plutôt que comme une cible, les enquêteurs ont pu valider en toute sécurité l’hypothèse d’un stockage persistant et multi-victimes, et jeter les bases de ce qui allait devenir un effort de récupération de données rare et à grande échelle. »

Ce qu’il a découvert, ce sont des ensembles de données volés appartenant à 12 entreprises anonymes et non connectées, touchées par des attaques distinctes de ransomware INC. Alors que les données étaient cryptées, les Cyber ​​Centaures pouvaient utiliser Restic pour le décryptage car il s’agissait du véhicule de cryptage. Ensuite, il a contacté les forces de l’ordre pour valider la source des données volées.

Le rapport comprend des indicateurs de compromission et des outils utilisés par INC, notamment AnyDesk, une application d’accès à distance.

Le rapport note également que les acteurs malveillants qui abusent de Restic renomment souvent le binaire (par exemple, en winupdate.exe) et s’appuient sur des chemins d’exécution légitimes pour éviter les soupçons. Une technique de détection simple et efficace consiste à rechercher l’exécution de Restic en dehors des contextes de sauvegarde attendus, en particulier à partir des répertoires système ou des emplacements accessibles en écriture par l’utilisateur, et à l’associer à des hachages connus lorsqu’ils sont disponibles.

Jon DiMaggio, responsable de XFIL Cyber ​​et spécialiste des attaques de ransomwares, a déclaré que ce qui est important dans cette enquête n’est pas seulement que les données volées à 12 entreprises ont été récupérées, mais que les chercheurs ont révélé comment les groupes de ransomwares réutilisent l’infrastructure de plusieurs victimes. « La plupart des incidents de ransomware prennent fin une fois que vous maîtrisez les systèmes de chiffrement et de restauration », a-t-il déclaré dans un e-mail. « Cette affaire montre que la véritable valeur réside dans le fait de suivre les schémas opérationnels de l’attaquant pour retrouver ce qu’il a laissé derrière lui. Cela rappelle que le ransomware est un modèle commercial, et non des attaques ponctuelles, et cela signifie qu’il existe des opportunités de le perturber à grande échelle. « 

Les défenseurs ne devraient cependant pas compter sur des erreurs comme celle commise par INC pour les sauver des attaques. Dans son rapport, Cyber ​​Centaurs affirme qu’il s’agit d’une ouverture « qui n’existerait normalement pas dans une réponse typique à un ransomware ». Mais, ajoute-t-il, s’il y a des erreurs, les défenseurs pourront peut-être en tirer profit.

Dans une interview, von Ramin Mapp a averti qu’il n’est pas facile de réduire le risque d’être touché par un ransomware. Les attaquants répondront à chaque tactique utilisée par les défenseurs, a-t-il déclaré. Il serait utile, a-t-il souligné, que les entreprises victimes refusent de payer des rançons et suppriment ainsi la récompense financière dont dépendent les gangs.

« Une chose que je recommande souvent aux organisations », a-t-il ajouté, « est d’avoir une base de référence des résultats de lecture et d’écriture sur vos serveurs et partages réseau. Si un ransomware est déployé, vous constaterez une augmentation drastique de ces cycles. »

RançongicielLogiciel malveillantCybercriminalitéSécurité

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

prismatic rgb image
Des chercheurs découvrent une vulnérabilité vieille de 30 ans dans la bibliothèque libpng
US Navy Nuclear Power Training Command
Le problème fondamental : comment le manque de responsabilité détruit la cybersécurité
Companies monitoring employees
Les hackers retournent les bosswares contre les patrons