Cyberattaques : ces services utilisés pour exfiltrer et récupérer de l’outillage
L’utilisation de services cloud pour l’exfiltration de données et le téléchargement d’outils, avant déclenchement de ransomware s’il y a, est courante. Tour d’horizon des services régulièrement observés lors de cyberattaques.
Dans le cadre de cyberattaques avec ransomware en double extorsion, non seulement les cybercriminels chiffrent les données de leur victime, mais ils en volent au préalable. De quoi menacer de les vendre ou de les divulguer, si la rançon demandée n’est pas payée en temps et en heure. Certains cybercriminels ont même abandonné le chiffrement pour se contenter du chantage à la divulgation, ou vente des données de leurs victimes.
Mais de l’exfiltration de données peut également survenir durant d’autres phases de l’attaque, par exemple pour « sortir » du système d’information de la victime des données d’authentification récoltées dans la mémoire de systèmes Windows compromis, avec un outil tel que Mimikatz.
Différents supports de transfert
Le modèle ATT&CK du Mitre recense 9 principales techniques d’exfiltration de données utilisées par des attaquants. Cyentia en souligne 5 principales : l’exfiltration via un service Web, par un canal de communication de commande et de contrôle (C2), le transfert vers un compte de services cloud, l’exfiltration automatisée, et le transfert par blocs de taille limitée.
Les outils utilisés peuvent varier, d’un simple client FTP à un cheval de Troie permettant un accès à distance (RAT, Remote Access Troyan), en passant par des outils de réplication de données comme Rclone. Certaines franchises ont même développé leurs outils propres, à l’instar d’ExMatter (BlackMatter), ExByte (BlackByte), ou encore StealBit (LockBit).
L’outil impliqué peut varier en fonction de la destination. Mais certaines sont finalement bien connues pour être régulièrement utilisées par des cybercriminels. Alors même qu’il s’agit de services légitimes.
Pour différentes destinations
À l’automne 2020, en suivant une négociation entre le groupe REvil et sa victime, attaquée avec le ransomware Sodinokibi, nous avions découvert que les données volées dans le système d’information de la cible avaient été stockées chez le Néo-Zélandais Mega.
À l’automne 2021, Louis Château, analyste au sein du CERT d’Advens, relevait le même type de tactique : l’exfiltration de données sur une plateforme de stockage cloud tout ce qu’il y a de légitime. Laurent Besset, directeur cyberdéfense d’I-Tracing, l’a également observé (comme il nous l’avait signalé) lors de la préparation du bulletin de notre bulletin de situation ransomware pour le mois de septembre 2021.
Ces cas ne sont pas isolés. SecurityScorecard a souligné l’extraction de données vers Mega lors de l’attaque conduite par un affidé de la franchise REvil contre JBS.
Les équipes de Palo Alto Networks avaient, fin 2020, documenté cette pratique chez certains affidés LockBit. Nous avons également observé des négociations Conti où, après paiement, les assaillants fournissent des détails d’accès aux données qu’ils ont dérobées et stockées sur Mega. Mais ce service n’est pas le seul à être détourné par les cybercriminels.
En juin 2022, Picus Security évoquait l’utilisation de Google Drive, OneDrive et encore Dropbox.
Que surveiller, voire même bloquer ?
Les noms de domaine correspondant à des services utilisés fréquemment par des cybercriminels lors d’attaques – que ce soit pour exfiltrer des données ou pour récupérer de l’outillage – sont bien documentés. Plusieurs ont été régulièrement évoqués notamment dans des DFIR Reports ou bien par Kasperky dans un dense rapport sur les techniques, tactiques et processus des cybercriminels, et encore par l’agence américaine de la cybersécurité et de la sécurité des infrastructures (Cisa).
En voici quelques-uns, vers lesquels le trafic entrant, comme sortant, mérite d’être surveillé sinon bloqué, en l’absence d’usage interne connu et légitime :
- anonfiles[.]com
- exploit[.]in
- file[.]io
- mega[.]io, mega.co[.]nz
- notepad[.]pw, notepad[.]cc
- qaz[.]im, qaz[.]su, qaz[.]is
- privnote[.]com
- privatty[.]com
- 1ty[.]me
- sendspace[.]com
- temp[.]sh
- ufile[.]io
- premiumize[.]com
- fex[.]net
- transfer[.]sh
- dropfiles[.]me, dropmefiles[.]com
- filetransfer[.]io
- put[.]io
- tempsend[.]com
Pour certains, comme file[.]io, par exemple, le stockage est éphémère : le fichier téléversé est supprimé après son téléchargement. Impossible, donc, après la découverte du transfert dans les traces d’activité réseau, de récupérer le fichier et de savoir ce qu’il contenait, une fois que l’assaillant l’a consulté.
Les équipes TDR de Sekoia.io ont étendu cette liste, établissant au passage des liens entre services et outils, et enseignes de ransomware ayant été observées les utilisant. À date de publication du fruit de leurs recherches, cette liste ne mentionne que WinRAR et 7zip pour la compression des données exfiltrées, omettant Zip et Tar qu’utilisent au moins certains affidés de RansomHub ou encore Akira pour divulguer les données volées à leurs victimes ; sans que cela ne permette, toutefois, d’établir avec certitude qu’ils les utilisent également pour le transfert depuis l’environnement attaqué.
Charles Blanc-Rolin, chef de projet sécurité numérique en santé, maintient une série de règles, les PAW Patrules, pour le système de détection d’intrusions (IDS) Suricata, qui couvrent de nombreuses techniques, tactiques et procédures employées dans le cadre de cyberattaques susceptibles de déboucher sur le déploiement d’un rançongiciel.
Publié initialement le 10 janvier 2023. Mis à jour le 17 mars 2023, le 9 mai 2023, le 8 novembre 2023, le 3 avril 2024, puis le 27 novembre 2024.