Zscaler Announces Intent to Acquire Airgap Networks to extend Zero Trust SASE
Learn More

Blog Zscaler

Recevez les dernières mises à jour du blog de Zscaler dans votre boîte de réception

S'abonner
Recherche sur la sécurité

Neutraliser la prochaine attaque de Kaseya

image
MARK BROZEK
juillet 07, 2021 - 6 Min de lecture
RansomwarePerspectives sur la sécurité

Contenu

  1. Article
  2. Autres blogs

Regardez la rediffusion à la demande du webinaire ThreatLabz du 13 juillet pour une analyse approfondie de l’attaque Kaseya et de la manière de s’en défendre.

Alors que les Américains se préparaient pour leur long week-end du 4 juillet, les cybercriminels préparaient une attaque de ransomware généralisée contre des entreprises du monde entier en utilisant une vulnérabilité de l’outil de surveillance et de gestion à distance Kaseya VSA.

L’attaque ciblait les instances sur site du serveur Kaseya VSA, qui permet aux fournisseurs de services gérés (MSP) d’effectuer la gestion des correctifs, les sauvegardes et la surveillance des clients pour leurs clientèle.

Les hackers ont exploité une vulnérabilité e type « zero day » dans le logiciel du serveur VSA afin de distribuer le ransomware REvil à entre 40 et 60 MSP et, par la suite, aux clients de ces MSP, soit plus de 1 000 au total. Ce mode de prolifération est appelé attaque de la « chaîne d’approvisionnement », qui utilise l’accès de confiance d’un outil informatique pour accéder aux réseaux de nombreuses autres entreprises, ce qui permet aux hackers de multiplier leurs dommages à plusieurs reprises.

Kaseya, tout comme SolarWinds, qui a été exploité lors d’une autre attaque contre la chaîne d’approvisionnement plus tôt cette année, est une solution de gestion informatique établie de longue date et fort appréciée. Les attaques réussies contre ces services prouvent que tout partenaire ayant accès à votre environnement informatique peut rapidement devenir une vulnérabilité. 

 

Zero Trust est la réponse.

Vous devez impérativement adopter des stratégies Zero Trust afin d’atténuer les risques commerciaux liés à ces attaques. La notion de partenaire de confiance, d’employé de confiance ou d’appareil de confiance doit être proscrite. L’accès aux ressources doit être contrôlé dynamiquement, selon le principe du moindre privilège.

Même avec des outils et des partenaires fiables, les entreprises doivent partir du principe que chaque connexion peut constituer une attaque potentielle et mettre en place des contrôles autour de l’identité et des politiques de Zero Trust qui connectent en toute sécurité les utilisateurs directement aux applications, et jamais aux réseaux. Zero Trust vous permet d’éliminer fondamentalement la surface d’attaque en rendant les ressources de l’entreprise invisibles aux adversaires et impossibles à attaquer, contrairement aux approches traditionnelles de sécurité réseau qui laissent la porte ouverte aux menaces provenant de sources fiables.

Chaque attaque comporte une série d’étapes nécessaires à sa réussite, souvent appelées « chaîne de frappe » ou « cycle de vie de l’attaque ».  Nous détaillerons plus loin les étapes d’une attaque typique de ransomware REvil, comme indiqué dans l’analyse des ransomwares de ThreatLabZ, et discuterons de la manière dont le Zero Trust peut les neutraliser :

 

Empêcher l’intrusion

La première action des hackers consiste à compromettre votre réseau, puis télécharger et exécuter des payloads malveillants. REvil est connu pour s’introduire par le biais d’e-mails de phishing, de kits d’exploitation et de comptes RDP compromis, exploitant également fréquemment les vulnérabilités d’Oracle WebLogic. De nombreux hackers se faufilent via des canaux chiffrés, comme ce fut probablement le cas lors de l’attaque Kaseya : ThreatLabz a constaté une augmentation de 500 % des malwares SSL d’une année sur l’autre dans son dernier rapport L’état des attaques chiffrées.

Pour éviter ce type de compromission, conformément aux principes de Zero Trust, les entreprises doivent :

  • Bénéficier d’une visibilité totale avec une inspection complète de l’ensemble du trafic, qu’il soit chiffré ou non, pour arrêter les téléchargements malveillants, que ce soit via des e-mails, des sites Web ou d’autres canaux.
     
  • Minimiser la surface d’attaque. Les applications ne doivent pas être publiées sur Internet ou sinon elles courent le risque d’être attaquées par force brute ou exploitées ; au contraire, elles ne doivent être accessibles que par l’intermédiaire d’un échange après une authentification appropriée.
     
  • Détecter et arrêter les activités malveillantes en maintenant les outils de sécurité à jour et en utilisant la détection optimisée par l’IA pour découvrir des variantes de ransomware inédites et analyser les comportements. Des capacités de sandboxing et d’isolation du navigateur inline doivent être déployées pour aider à identifier et arrêter les menaces inconnues avancées.
     
  • Contrôler les accès avec des politiques strictes basée sur le moindre privilège qui sont surveillées et corrigées pour détecter les manquements en termes de droits, de politiques, de conformité et de configurations. 


Kaseya a annoncé déployer des améliorations de sa propre sécurité afin d’éviter toute compromission future, notamment un meilleur sandboxing, une meilleure isolation et des pare-feu pour les applications Web, des composants essentiels de Zscaler Zero Trust Exchange.

Image

 

Empêcher le mouvement latéral

Bien que cela ne semble pas avoir été le cas dans l’attaque par ransomware de la chaîne d’approvisionnement de Kaseya, une fois qu’un hacker s’est introduit dans votre réseau, il se déplace souvent latéralement pour l’analyser et trouver des données précieuses, généralement pour les dérober et les chiffrer dans le cadre d’une attaque de ransomware. Pour éviter cela, les entreprises doivent :

  • Segmenter les applications : la microsegmentation est une pierre angulaire essentielle de Zero Trust, qui limite l’accès pour atténuer les dommages en supposant que vous avez déjà été victime d’une violation. Utilisez une architecture proxy pour connecter les utilisateurs et les charges de travail directement à l’application ou à la ressource dont ils ont besoin, jamais au réseau. Si un hacker parvient à compromettre une seule application, les préjudices qu’il peut causer s’arrêtent là. 
     
  • Se montrer proactif avec une défense active : une tactique de défense moins courante, mais extrêmement efficace, consiste à utiliser des technologies de défense active ou de « tromperie » pour identifier et arrêter les tentatives de déplacement latéral. Ces outils déploient des applications leurres et des appâts qui servent de fil d’Ariane aux hackers, les détournant des ressources qu’ils recherchent réellement tout en envoyant à votre équipe de sécurité des alertes de haute fidélité signalant qu’une attaque est en cours.

Image

 

Prévenir le vol de données

Près de 50 % des attaques REvil (ainsi que de nombreuses autres familles de ransomwares) se caractérisent par le fait que les hackers volent des données et menacent de les publier, ce que l’on appelle la « double extorsion ». Cela donne aux hackers beaucoup de poids lorsqu’ils formulent leurs demandes, car les entreprises doivent se préoccuper de bien plus que de la simple restauration de leurs données. Pour garantir que vos données restent protégées, les meilleures pratiques Zero Trust vous imposent de :

  • Inspecter tout le trafic sortant : sécurisez les données sensibles avec des contrôles DLP granulaires qui identifient et bloquent les fuites ou les vols de données sur l’ensemble du trafic inline et SSL en temps réel.  
     
  • Définir des politiques qui n’autorisent que les communications avec des destinations connues : dans le cas de SolarWinds, les hackers ont profité de politiques laxistes qui ont permis au logiciel de communiquer avec des destinations inconnues, lesquelles ont fini par inclure les serveurs de commande et de contrôle de DarkSide. Quelle que soit la qualité de votre technologie, le « refus par défaut » est un concept essentiel de Zero Trust ; vous ne devez autoriser que les communications nécessaires au bon fonctionnement de l’outil.
     
  • Protéger vos applications cloud contre toute exposition : faites appel à des CASB (Cloud Access Security Brokers) pour appliquer des contrôles granulaires des applications cloud approuvées et non approuvées, tout en protégeant les données sensibles au repos contre le vol ou l’exposition accidentelle.
     
  • Corriger les erreurs de configuration du cloud : évitez les violations du cloud et la perte de données en identifiant et en corrigeant les erreurs de configuration dangereuses dans les SaaS et les cloud publics.

Image

 

Les attaques de ransomware et de chaîne d’approvisionnement vont sûrement s’aggraver avant de s’améliorer : CybersecurityVentures a estimé que la cybercriminalité coûtera aux entreprises 6 000 milliards de dollars au niveau mondial en 2021, et jusqu’à 10 500 milliards de dollars en 2025. En adoptant une stratégie Zero Trust, les équipes de sécurité peuvent minimiser les probabilités d’être victimes de ces attaques, de même que les préjudices potentiels que les hackers peuvent causer.

Pour en savoir plus, nous vous invitons à regarder la rediffusion à la demande de notre webinaire du 13 juillet dans lequel le RSSI de Zscaler, Deepen Desai, et le directeur de recherche, Amit Banker, discutent de l’attaque Kaseya.

Pour en savoir plus sur REvil et d’autres tendances de ransomware, nous vous invitons à télécharger une copie gratuite de notre rapport, ThreatLabZ Ransomware Review: The Advent of Double Extortion (L’avènement de la double extorsion : une analyse des ransomwares par l’équipe ThreatLabZ)

 

form submtited
Merci d'avoir lu l'article

Cet article a-t-il été utile ?

vote yes
Oui, très utile !
vote no
Pas vraiment

Découvrez d'autres blogs Zscaler

A cyber criminal shopping for malware
Agniane Stealer: Dark Web’s Crypto Threat
Lire le blog
Business people walking through a city
The Impact of the SEC’s New Cybersecurity Policies
Lire le blog
Digital cloud illuminated in blue
Security Advisory: Remote Code Execution Vulnerability (CVE-2023-3519)
Lire le blog
TOITOIN Trojan
The TOITOIN Trojan: Analyzing a New Multi-Stage Attack Targeting LATAM Region
Lire le blog
01 / 02
dots pattern

Recevez les dernières mises à jour du blog de Zscaler dans votre boîte de réception

En envoyant le formulaire, vous acceptez notre politique de confidentialité.