Face aux ransomwares : surveiller les services de stockage cloud
L’utilisation de ces services pour l’exfiltration de données, volées par les attaquants dans le système d’information de leurs victimes, n’est pas nouvelle. Mais elle apparaît observée de plus en plus fréquemment.
C’était à l’automne dernier : en suivant une négociation entre le groupe REvil et sa victime, attaquée avec le ransomware Sodinokibi, nous avions découvert que les données volées dans le système d’information de la cible avaient été stockées chez le Néo-Zélandais Mega.
Plus récemment, Louis Château, analyste au sein du CERT d’Advens, a relevé le même type de tactique : l’exfiltration de données sur une plateforme de stockage cloud tout ce qu’il y a de légitime. Laurent Besset, directeur Cyberdéfense d’I-Tracing, l’a également observé, comme il nous l’a signalé, lors de la préparation du bulletin de notre bulletin de situation ransomware pour le mois de septembre.
Ces cas ne sont pas isolés. SecurityScorecard s’est penché sur l’attaque de REvil contre JBS et a souligné l’extraction de données vers Mega.
Mais certains affidés LockBit procèdent également de la sorte, comme cela a déjà été documenté il y a un an par les équipes de Palo Alto Networks. Nous avons également observé des négociations Conti où, après paiement, les assaillants fournissent des détails d’accès aux données qu’ils ont dérobées et stockées sur Mega. Le FBI l’a d’ailleurs relevé dans une alerte du mois de mai. Le ransomware Black Kingdom a également utilisé Mega, de même que Babuk, comme l’a signalé McAfee.
En mai dernier, Red Canary expliquait l’intérêt des cybertruands pour ce service : « chiffrement de bout-en-bout des fichiers, offre de base gratuite, et une série d’outils utilisés pour le transfert de fichiers à distance ». Surtout, les assaillants n’ont pas besoin « d’héberger leurs propres serveurs de partage de fichiers » et peuvent employer des moyens de paiement discrets comme le bitcoin.
Dans ce contexte, l’Américain Recon Infosec recommande de bloquer Mega « en l’absence d’usage métier légitime », ou à tout le moins de configurer un EDR pour le détecter. Au-delà, il suggère de « mettre en place des contrôles réseau pour bloquer les connexions vers les domaines associés » au service.
Et Red Canary relève que « bloquer simplement les connexions réseau aux adresses IP liées à Mega peut constituer un contrôle de sécurité viable dans certains environnements », à défaut de pouvoir détecter les outils de transfert de fichiers utilisés par les attaquants. À commencer trivialement par MegaSync qui ne manque pas d’être observé lors d’attaques.