Du Phishing au Ransomware : le cycle de vie complet d'une cyberattaque

Le phishing est la porte d’entrée de près de 80% des cyberattaques. Mais il est légitime de se demander pourquoi cela représente-t-il une réelle menace pour l’entreprise ? En quoi la compromission des identifiants d’un membre de l’équipe marketing ou de l’équipe sales pose-t-il un vrai risque ? 

Il est certain que si le compte qui est compromis est directement celui de l’admin système le travail des hackers s’en trouve simplifié. 

Mais dans la majorité des cas ce n’est pas ce qui se passe. Que se passe-t-il entre l’infiltration initiale et l’impact ? 

Cet article présente un schéma relativement standard pour une cyberattaque et certaines des techniques utilisées par les hackers, depuis un phishing jusqu’à un ransomware en 4 étapes : 

  1. Reconnaissance
  2. Infiltration
  3. Exploitation
  4. Impact

L’objectif n’est bien évidemment pas d’être exhaustif dans la description des approches ou tactiques utilisées, mais plutôt de proposer une vision globale, simple et compréhensible, qui pourra être communiquée aux équipes afin de souligner l’importance de protéger la phase amont. 

1. Reconnaissance

Du phishing au Ransomware : Reconnaissance

 L’objectif des hackers est de reconnaître leur cible afin de préparer leur infiltration.

L'idée est de comprendre l'écosystème(clients, logiciels, fournisseurs, équipes...) d'une cible afin d’améliorer les chances de réussir à compromettre un compte. Pour cela les hackers s’appuient sur plusieurs techniques :

OSINT (Open Source Intelligence): On sous-estime encore sans doute la quantité d’informations qui sont disponibles en ligne, pour peu que l’on consacre un peu de temps à les chercher. Par exemple : 

  • Employés de l'entreprise : LinkedIn, site web de l'entreprise
  • Logiciels utilisés : Divers moteurs de recherche, détails des offres d'emploi sur LinkedIn ou descriptions des équipes sur LinkedIn
  • Clients et fournisseurs : Sites web des entreprises
  • Habitudes des cibles : Médias sociaux (Facebook, Instagram, Twitter, TikTok...)
  • Signature des mails corporates : il suffit de contacter quelqu’un sous un prétexte anodin

Fuites de données: Il y a régulièrement des fuites de données. Ces infos se retrouvent en ligne et il est parfois possible d’exploiter des mots de passe compromis qui n’auraient pas été changés. 

2. Infiltration

Du Phishing au Ransomware : Infiltration

Phishing (hameçonnage)

Les hackers savent maintenant assez précisément qui travaille dans cette entreprise, avec quels logiciels, qui en sont les clients & fournisseurs et les personnes qui composent l’équipe dirigeante, il est temps pour eux de constituer une première tête de point. 

Les hackers cherchent ici soit à obtenir des identifiants pour compromettre le compte d’un utilisateur, soit directement l’amener à télécharger un logiciel malveillant.

Pour cela, le phishing (ou plutôt spear-phishing nourri par les informations recueillies lors de la phase de reconnaissance) accompagné par des techniques de social engineering sont les armes les plus simples et efficaces à déployer.

Pour obtenir des credentials, les hackers peuvent répliquer des pages d’authentification via des outils comme Evilginx qui permettent de contourner de manière simple les protections d’authentification multifactorielle.

Et pour un logiciel malveillant, la séquence peut par exemple être la suivante :  

  • Envoi d’un email de spear-phishing convainquant avec une pièce jointe
  • L’utilisateur ouvre la pièce jointe
  • Une fois que la macro est activée, elle va lancer le téléchargement d’un loader : la tête de pont est établie.

Une fois la macro activée, elle lancera automatiquement le téléchargement d'un chargeur : la tête de pont est établie. 

Et si vraiment ils n’ont pas envie de faire tout le travail évoqué ci-dessus, il peuvent payer un IAB (Initial Access Broker), littéralement un prestataire qui fournit d’accès initial. C’est un réseau qui vend des identifiants : plus le compte a de privilèges, plus c’est cher (le prix peut varier de $500 à $10,000 en fonction de l’entreprise et du niveau de privilèges du compte). 

Loader

Un loader est un logiciel malveillant dont l’objectif est de collecter des premières informations sur le réseau de la cible et surtout de créer un accès distant avec le système de command & control des hackers,en vue leur partager ces informations, de télécharger d’autres logiciels malveillants… etc.

Parmi les exemples récemment utilisés on peut citer Qakbot ou Hancitor. Ces logiciels vont installer des bibliothèques de code et chercher à les exécuter, réaliser un petit mapping du réseau cible, et établir une connexion avec l’infrastructure command & control des hackers.  

Si tout se passe bien, ils peuvent télécharger d’autres logiciels malveillants (comme par exemple Cobaltstrike) en vue de passer à la phase suivante.

À ce stade de l'attaque, les hackers disposent d'une tête de pont mais pas nécessairement sur un compte avec les privilèges nécessaires pour faire des dégâts.

3. Exploitation

Du Phishing au Ransomware : Exploitation

Objectif : élévation des privilèges et mouvement latéral. En d'autres termes : obtenir plus de droits et de se déployer sur l'ensemble dans tout le système IT.

L'élévation de privilèges va permettre aux hackers une prise de contrôle des serveurs stratégiques. Elle peut se faire de plusieurs manières, parmi lesquelles (à titre d’exemple) :

  • Le hijacking de bibliothèques dll : certaines routines tournent automatiquement avec des privilèges plus élevés que ceux de l’utilisateur (au démarrage par exemple). Les logiciels malveillants vont chercher à injecter des commandes lors de ces routines, afin qu’elles soient exécutées avec des privilèges administrateurs, leur permettant de se rapprocher de ces droits 
  • Récupération des hash ou token admins : les hash ou des identifiants administrateurs ou leur token peuvent être présents sur une machine (login lors de la mise en place de la machine par exemple), et les logiciels des hackers peuvent chercher à récupérer ces hash pour les réutiliser
  • Brute force : Une tactique qui permet de trouver des mots de passe en en essayant un maximum, voire simplement en les devinant (dans l’attaque Solarwinds, le mot de passe de son serveur de mises à jour pouvait apparemment être deviné)
  • Exploiter des vulnérabilités connues (à titre d’exemple et pour n’en citer qu’une, Zerologon par exemple) pour s’attaquer aux contrôleurs de domaine. Les hackers peuvent notamment profiter du fait que certaines toutes les copies de l’Active Directory n’ont pas les dernières mises à jour pour exploiter des failles

Le mouvement latéral  quant à lui vise à étendre l’emprise des hackers sur le réseau de l’entreprise : machines virtuelles, comptes et identifiants utilisateurs, systèmes d’exploitation, serveurs…

Les hackers vont en effet chercher, après avoir cartographié le réseau, à se déployer dessus afin de préparer la phase d’impact et d’augmenter leurs chances de survivre s’ils sont découverts sur une machine. Ils peuvent récupérer des identifiants (via des outils comme Mimikatz, des keyloggers), utiliser les identités compromises pour envoyer d’autres mails de phishing, ou s’appuyer sur les privilèges acquis pour se déployer.  

Si les hackers réussissent à compléter ces étapes sans se faire détecter, ils sont implantés sur l’ensemble du réseau (ou du moins sur ses points stratégiques) avec les autorisations suffisantes pour exécuter l’étape suivante : il vont pouvoir frapper. 

4. Impact

Du Phishing au Ransomware : Impact

Avec les privilèges obtenus et la dispersion sur le réseau, déployer un ransomware va se faire facilement par le biais des logiciels malveillants déjà en place (comme Cobaltstrike par exemple) sur commande du serveur de commande et contrôle des hackers.  

A noter qu’en amont de cette phase, les hackers chercheront bien évidemment à compromettre toutes les sauvegardes auxquelles ils pourraient avoir accès.  

Dans la majorité des cas, les gangs se sont spécialisés. Accès initial, exploitation, fourniture de ransomware as a service (RaaS), la chaîne de valeur est bien séparée. Là, il suffit d’une porte d’entrée (et de payer) et les équipes du RaaS fournissent un guide détaillé pour déployer le ransomware, et même un support client, pour le gang chargé de l’exploitation de l’attaque. 

Pour l’anecdote, le recours à un RaaS n’est pas sans risque : il arrive que ces hackers se copient eux-même les données et doublent leur client dans la demande de rançon (qui a dit qu’il y avait de l’honneur entre voleurs ?).

Les hackers déploient donc un ransomware, et l’attaque va suivre un schéma relativement classique :  

  • Data exfiltration: Si les hackers ont envie de récupérer une copie des données
  • Edition des privilèges: On retire aux utilisateurs légitimes leur niveau de privilège
  • Chiffrement des données: les données sont soit détruites (lorsque les hackers en ont récupéré une copie) soit chiffrées. Les différents ransomware utilisent des approches différentes, que ce soit en chiffrant soit le disque entier soit les dossiers individuellement. Chiffrement ou destruction des sauvegardes également.
  • Rançon: les hackers demandent une rançon pour récupérer les données, voire menacent de les faire fuiter pour nuire à la réputation de la cible (double voir triple extortion)

Conclusion

Le phishing peut, de loin, paraître relativement inoffensif (“au pire un commercial se fait avoir”). Le problème est que n'importe qui peut constituer une porte d'entrée vers une attaque en profondeur. Bien sûr ne pas avoir un réseau trop à plat permet de limiter certains risques et éviter une contagion trop facile. Il n’en reste pas moins qu’un compte, même anodin, contient toujours un somme d’information exploitable par des hackers, leur permettant de mener à bien des attaques plus sophistiquées dans un second temps.