La ville et le comté de Durham en Caroline du Nord ont subi une attaque de ransomware qui les a tous deux paralysés. L’attaque a commencé le 6 mars en fin de soirée, ce qui est courant pour les attaques de ransomware.
En réalité, la plupart des attaques de ransomware ont lieu le soir et le week-end, lorsqu’il y a moins de chances que le chiffrement des fichiers soit détecté.
Attaque contre la municipalité de Durham en Caroline du Nord
Deux attaques distinctes ont eu lieu simultanément. Une action rapide du département informatique a permis de contenir l’attaque, mais pas à temps pour empêcher l’infection d’environ 80 serveurs. Ces serveurs ont été chiffrés et ont dû être reconstruits, tandis qu’environ 1 000 ordinateurs ont dû être réinstallés.
Les cybercriminels disposent de nombreux moyens pour accéder aux réseaux d’entreprises afin de déployer des malwares, mais la messagerie électronique est le vecteur d’attaque le plus courant. La plupart des cyberattaques commencent par un e-mail de phishing et celle qui s’est produite à Durham n’était pas différente.
Le ransomware Ryuk a été utilisé pour chiffrer des fichiers sur le réseau afin d’extorquer de l’argent à la ville et au comté de Durham. Une demande de rançon a été émise qui, selon l’étendue du chiffrement, était estimée entre plusieurs milliers et plusieurs millions d’euros.
Toutefois, cette phase de l’attaque n’était que la partie la plus visible et la plus perturbatrice, car l’attaque a commencé beaucoup plus tôt.
Comment fonctionne le ransomware Ryuk ?
Le ransomware Ruyk est fourni par le cheval de Troie TrickBot, un voleur d’informations qui est devenu plus tard un téléchargeur de malwares. Une fois installé sur un appareil connecté à un réseau, TrickBot effectue une reconnaissance, se déplace latéralement et s’installe sur d’autres ordinateurs du réseau.
Lorsque toutes les informations utiles ont été trouvées et exfiltrées, un tunnel inversé ou « reverse shell » s’ouvre et les opérateurs de malwares disposent désormais l’accès aux différents systèmes. Les malwares se déplacent alors latéralement et téléchargent leur charge utile de ransomware sur le plus grand nombre possible d’appareils connecté au réseau.
TrickBot est téléchargé par le malware Emotet, un botnet notoire. Emotet, quant à lui, est livré par le biais de la messagerie électronique. Les campagnes d’Emotet ont utilisé une combinaison de documents Microsoft Office intégrant des macros malveillantes qui entraînent le téléchargement de la charge utile du malware et des hyperliens vers des sites web où le malware est téléchargé.
TrickBot peut également être diffusé directement via des spams. Ce trio de variantes de malwares peut causer des dommages considérables. Et même si la rançon n’est pas payée, les pertes peuvent être considérables. Entre autres, ces chevaux de Troie peuvent voler une quantité importante d’informations sensibles, notamment des identifiants de connexion à des comptes de messagerie électronique, des données bancaires, des informations fiscales et la propriété intellectuelle.
Pour notre cas, sept ordinateurs semblaient avoir été compromis lors de la première phase de l’attaque lorsque certains employés ont répondu à des e-mails de phishing.
Comment se protéger contre le ransomware Ryuk ?
La clé pour contrer de telles attaques est de mettre en place des défenses à plusieurs niveaux capables de bloquer l’attaque initiale. Cela signifie qu’une solution avancée de filtrage du spam est nécessaire pour bloquer les premiers e-mails de phishing.
Il importe également de fournir régulièrement des formations aux utilisateurs finaux sur la sécurité web afin qu’ils puissent identifier les e-mails malveillants qui arrivent dans leurs boîtes de réception.
En outre, il faut appliquer l’authentification multifactorielle pour empêcher l’utilisation des identifiants de connexion volés et empêcher donc les pirates d’accéder aux comptes de messagerie des utilisateurs finaux.
Enfin, il convient de déployer des solutions de sécurité des points finaux pour détecter les malwares qui pourraient être téléchargés par inadvertance par les utilisateurs finaux.
Vous voulez en savoir plus sur la protection de vos systèmes contre le phishing et les attaques de malwares ? Vous voulez connaître la manière dont un faible coût mensuel par utilisateur peut empêcher une cyberattaque extrêmement coûteuse ? Appelez l’équipe de TitanHQ dès aujourd’hui.