La dernière attaque de ransomware-as-a-service laisse le célèbre détaillant en proie à des problèmes de sécurité., Kmart, avec des interruptions de service et un Active Directory compromis.
Après le retrait du ransomware Maze le mois dernier, nombre de ses affiliés se sont tournés vers le nouveau ransomware, Egregor. Nommé d'après un terme occulte signifiant l'énergie ou la force collective d'un groupe d'individus (approprié, étant donné le modèle d'affiliation du ransomware), Egregor suit les traces de Maze en utilisant à la fois le chiffrement, le vol de données et l'extorsion comme moyens d'assurer le paiement de la rançon.
Selon le rapport d'attaque derapport d'attaque de Bleeping Computerla note de rançon confirme que le domaine Active Directory de Kmart a été compromis dans le cadre de l'attaque. Bien qu'aucun détail spécifique n'ait été fourni, nous pouvons faire quelques suppositions éclairées basées sur des attaques similaires antérieures où Maze, Ryuket Save the Queen ont toutes compromis et exploité Active Directory pour propager la charge utile du ransomware au plus grand nombre de systèmes possible. Chacune de ces souches a obtenu un accès élevé à Active Directory et a effectué des modifications malveillantes spécifiques, ce qui signifie qu'au moins un compte disposant de droits d'administration sur une partie ou la totalité d'Active Directory a été compromis et qu'une partie d'Active Directory se retrouve dans un système contrôlé par un acteur de la menace., non sécurisé contrôlé par l'acteur de la menace.
Cette situation est préoccupante à plusieurs égards :
1. Active Directory n'aurait pas dû être vulnérable- Nous savons tous qu'Active Directory sert encore aujourd'hui de principal magasin d'identité central pour une grande partie des organisations, même celles qui appliquent une stratégie d'identité hybride. Le fait que le "domaine" ait été compromis implique également qu'Active Directory reste un élément clé du réseau de Kmart. Active Directory est souvent le pivot des attaques par ransomware qui se propagent rapidement sur le réseau. Malheureusement, une fois qu'Active Directory est compromis, c'est un chemin tout tracé vers tous les systèmes connectés de l'environnement. Parce qu'Active Directory est si fortement exploité et, en même temps, l'épine dorsale de l'organisation, il nécessite une protection supplémentaire. Au minimum, nous parlons de la surveillance et de l'alerte en cas de changement. Idéalement, il devrait également y avoir un moyen de protéger les modifications apportées à des comptes, des groupes et d'autres objets élevés spécifiques, en invoquant des approbations de flux de travail et/ou des retours en arrière automatisés.
2. Kmart a eu de la chance- D'après tous les rapports, il semble que toutes les opérations de Kmart n'aient pas été interrompues. Cela signifie probablement que l'Active Directory a été compromis sans être indisponible, ce qui a permis à tous les services dépendant d'un domaine dans la forêt de continuer à fonctionner. Mais il y a eu des cas où les organisations n'ont pas été aussi chanceuses, comme l'attaque de NotPetya en 2018 sur Maersk qui a laissé littéralement tous les contrôleurs dedomaine inopérants, à l'exception d'un serveur hors ligne trouvé dans un bureau distant au Ghana. Il est négligent de supposer qu'une cyberattaque ne mettra jamais hors service Active Directory ; il est essentiel de pouvoir le récupérer facilement - et surtout, rapidement.
3. Le retour d'Active Directory à un état de sécurité connu n'a probablement pas été facile.- Dans de nombreuses organisations, les modifications malveillantes apportées à Active Directory ne passent peut-être pasinaperçuesDans de nombreuses organisations, les modifications malveillantes apportées à Active Directory ne passent peut-être pas inaperçues, mais sont certainement autorisées pendant une période suffisamment longue pour que l'impact malveillant se fasse sentir. Si vous ne savez pas ce qui a été modifié dans Active Directory, comment pouvez-vous savoir ce qui doit être restauré ou annulé pour remédier aux changements malveillants ? De nouveaux faux comptes d'utilisateurs ont-ils été créés ? Des changements dans l'appartenance au groupe Domain Admins ? Qu'en est-il des modifications apportées aux stratégies de groupe afin d'accorder les droits "Agir en tant que système d'exploitation" aux contrôleurs de domaine ou à chaque poste de travail ? La liste est encore longue. En bref, si vous ne protégez pas Active Directory, vous ne pourrez pas facilement rectifier les modifications apportées, ce qui nécessitera un effort de restauration qui ne sera probablement pas aussi simple que de "rétablir le domaine comme hier à midi".
Egregor est un acteur relativement nouveau sur la scèneet nous nous attendons à ce que son nom fasse de plus en plus souvent la une des journaux dans les mois à venir. Vous savez déjà que si Active Directory s'effondre, le reste de votre réseau peut en faire autant. La dernière attaque du ransomware Egregor contre Kmart doit donc vous rappeler qu'Active Directory doit faire l'objet d'une attention particulière dans le cadre de votre stratégie de cybersécurité. Protégez-le farouchement, en empêchant les acteurs de la menace d'y pénétrer. Deuxièmement, même si vous mettez en place une stratégie de défense en profondeur uniquement pour Active Directory, il y aura toujours une attaque un jour quiquiIl vous faudra alors être en mesure de rétablir Active Directory dans l'état où il se trouvait avant l'attaque, qu'il s'agisse d'une simple modification, de l'ensemble de la forêt ou de quelque chose d'intermédiaire.