Les guides de la cybersécurité
July 17, 2024
5 minutes

Les différentes phases d'une cyberattaques

Le phishing est la porte d’entrée de près de 80% des cyberattaques.

Mais il est légitime de se demander pourquoi cela représente-t-il une réelle menace pour l’entreprise ? En quoi la compromission des identifiants d’un membre de l’équipe marketing ou de l’équipe sales pose-t-il un problème voir même un risque ?

Ce qui est certain, c'est que si le compte qui est compromis est directement celui de l’admin système le travail des hackers s’en trouve simplifié. Mais dans la majorité des cas ce n’est pas ce qui se passe. Que se passe-t-il entre l’infiltration initiale et l’impact ?

Cet article présente un schéma relativement standard pour une cyberattaque et certaines des techniques utilisées par les hackers, depuis un phishing jusqu’à un ransomware en 4 étapes :

1er étape : La reconnaissance | 2ème étape : l'Infiltration | 3ème étape : l'exploitation | 4ème étape : l'Impact

L’objectif n’est bien évidemment pas d’être exhaustif dans la description des approches ou tactiques utilisées par les attaquants, mais plutôt de proposer une vision globale, simple et compréhensible, qui pourra être communiquée aux équipes afin de souligner l’importance de protéger la phase amont de l'attaques des hackers, que cela soit la partie prévention ou simplement mise en conformité.

Reconnaissance rançongiciel cyberattaque

1) La reconnaissance

L’objectif des hackers est de connaître leur cible afin de préparer leur infiltration. L'idée est de comprendre l'écosystème (clients, logiciels, fournisseurs, équipes...) d'une cible afin d’améliorer les chances de réussir à compromettre un compte. Pour cela les hackers s’appuient sur plusieurs techniques :

OSINT (Open Source Intelligence) : On sous-estime encore sans doute la quantité d’informations qui sont disponibles en ligne, pour peu que l’on consacre un peu de temps à les chercher.

Par exemple :

➡️ Ou trouver les employés de l'entreprise : sur LinkedIn ou le trombinoscope du site web de l'entreprise.

➡️ Quels logiciels sont utilisés par l'entreprise ? : Un moteur de recherche avec un plugin suffit souvent à en détecter plusieurs, il est aussi possible d'en trouver certain en regardant le détails des offres d'emploi sur LinkedIn ou descriptions des équipes sur LinkedIn

➡️ Qui sont les clients et les fournisseurs de l'entreprise ? : Sur le sites web des entreprises, partie nos références clients ...

➡️ Quels sont les habitudes des cibles ? : Médias sociaux (Facebook, Instagram, Twitter, TikTok...)

➡️ Comment est la signature des mails corporates : il suffit de contacter quelqu’un sous un prétexte anodin

➡️ Fuites de données : Il y a régulièrement des fuites de données. Ces infos se retrouvent en ligne et il est parfois possible d’exploiter des mots de passe compromis qui n’auraient pas été changés.

Accès initial et infiltration BonjourCyber

2) L'infiltration

Les emails de phishing sont devenus de plus en plus sophistiqués, souvent difficiles à distinguer des communications légitimes. Les hackers utilisent ces emails pour inciter les victimes à divulguer des informations sensibles ou à télécharger des logiciels malveillants. Il est donc essentiel de former les employés à identifier et à signaler les emails suspects.

Phishing (hameçonnage) (Rappel : qu'est ce que le Phishing ?) Les hackers savent maintenant assez précisément qui travaille dans cette entreprise, avec quels logiciels, qui en sont les clients & fournisseurs et les personnes qui composent l’équipe dirigeante, il est temps pour eux de constituer une première tête de pont.

Les hackers cherchent ici soit à obtenir des identifiants pour compromettre le compte d’un utilisateur, soit directement l’amener à télécharger un logiciel malveillant. Pour cela, le phishing (ou plutôt spear-phishing nourri par les informations recueillies lors de la phase de reconnaissance) accompagné par des techniques de social engineering sont les armes les plus simples et efficaces à déployer.

Les pop-ups malveillants sont souvent utilisés pour tromper les utilisateurs et les inciter à télécharger des logiciels malveillants ou à révéler des informations personnelles. Les entreprises doivent configurer leurs navigateurs pour bloquer les pop-ups non sollicités et éduquer leurs employés sur les dangers de cliquer sur ces fenêtres.

Pour obtenir des credentials (ou identifiants), les hackers peuvent répliquer des pages d’authentification via des outils comme Evilginx qui permettent de contourner de manière simple les protections d’authentification multifactorielle.

Et pour un logiciel malveillant, la séquence peut par exemple être la suivante :

Envoi d’un email de spear-phishing convainquant avec une pièce jointe. L’utilisateur ouvre la pièce jointe. Une fois que la macro est activée, elle va lancer le téléchargement d’un loader : la tête de pont est établie. Une fois la macro activée, elle lancera automatiquement le téléchargement d'un chargeur : la tête de pont est établie. Si ils ne veulent pas faire le travail, ils peuvent payer un IAB, qui fournit l'accès initial.

C’est un réseau qui vend des identifiants : plus le compte a de privilèges, plus c’est cher (le prix peut varier de $500 à $10,000 en fonction de l’entreprise et du niveau de privilèges du compte). Un loader est un logiciel malveillant qui collecte des informations sur un réseau et crée un accès à distance pour les hackers. Il permet de partager des informations, de télécharger d'autres logiciels malveillants, etc.

Parmi les exemples récemment utilisés on peut citer Qakbot ou Hancitor. Ces logiciels vont installer des bibliothèques de code et chercher à les exécuter, réaliser un petit mapping du réseau cible, et établir une connexion avec l’infrastructure command & control des hackers.

Si tout se passe bien, ils peuvent télécharger d’autres logiciels malveillants (comme par exemple Cobaltstrike) en vue de passer à la phase suivante. À ce stade de l'attaque, les hackers disposent d'une tête de pont mais pas nécessairement sur un compte avec les privilèges nécessaires pour faire des dégâts.

Escalade de privilège et mouvement latérale rançongiciel

3) L'exploitation

🔜 Objectif : élévation des privilèges et mouvement latéral. En d'autres termes : obtenir plus de droits et de se déployer sur l'ensemble dans tout le système IT.

Les cyberattaques peuvent paralyser entièrement un système informatique, rendant les opérations d'une entreprise impossibles. Il est donc primordial de renforcer la sécurité de tous les composants du système informatique, y compris les réseaux, les serveurs et les terminaux.

L'élévation de privilèges va permettre aux hackers une prise de contrôle des serveurs stratégiques. Elle peut se faire de plusieurs manières, parmi lesquelles (à titre d’exemple) :

Le hijacking de bibliothèques dll : certaines routines tournent automatiquement avec des privilèges plus élevés que ceux de l’utilisateur (au démarrage par exemple). Les logiciels malveillants vont chercher à injecter des commandes lors de ces routines, afin qu’elles soient exécutées avec des privilèges administrateurs, leur permettant de se rapprocher de ces droits

Récupération des hash ou token admins : les hash ou des identifiants administrateurs ou leur token peuvent être présents sur une machine (login lors de la mise en place de la machine par exemple), et les logiciels des hackers peuvent chercher à récupérer ces hash pour les réutiliser

Brute force : Une tactique qui permet de trouver des mots de passe en en essayant un maximum, voire simplement en les devinant (dans l’attaque Solarwinds, le mot de passe de son serveur de mises à jour pouvait apparemment être deviné)

Exploiter des vulnérabilités connues (à titre d’exemple et pour n’en citer qu’une, Zerologon par exemple) pour s’attaquer aux contrôleurs de domaine. Les hackers peuvent notamment profiter du fait que certaines toutes les copies de l’Active Directory n’ont pas les dernières mises à jour pour exploiter des failles

Le mouvement latéral quant à lui vise à étendre l’emprise des hackers sur le réseau de l’entreprise : machines virtuelles, comptes et identifiants utilisateurs, systèmes d’exploitation, serveurs…

Le Remote Desktop Protocol (RDP) est souvent exploité par les hackers pour accéder aux systèmes à distance. Les entreprises doivent sécuriser leurs connexions RDP en utilisant des VPN, des authentifications multifactorielle et en limitant les accès pour réduire les risques d'intrusion.

Les hackers vont en effet chercher, après avoir cartographié le réseau, à se déployer dessus afin de préparer la phase d’impact et d’augmenter leurs chances de survivre s’ils sont découverts sur une machine. Ils peuvent récupérer des identifiants (via des outils comme Mimikatz, des keyloggers), utiliser les identités compromises pour envoyer d’autres mails de phishing, ou s’appuyer sur les privilèges acquis pour se déployer.

La mise à jour régulière des logiciels et des systèmes d'exploitation est cruciale pour se protéger contre les cyberattaques. En effet, de nombreuses attaques exploitent des vulnérabilités déjà corrigées par des mises à jour que les entreprises n'ont pas encore appliquées. Il est essentiel de maintenir un programme de mise à jour rigoureux pour réduire les risques de compromission.

Si les hackers réussissent à compléter ces étapes sans se faire détecter, ils sont implantés sur l’ensemble du réseau (ou du moins sur ses points stratégiques) avec les autorisations suffisantes pour exécuter l’étape suivante : il vont pouvoir frapper.

impact rançongiciel

4) L'impact

La protection des données personnelles est au cœur des préoccupations des entreprises modernes. Les hackers ciblent souvent ces informations pour les revendre sur le Dark Web 💻ou pour effectuer des fraudes. Il est donc crucial de sécuriser toutes les données personnelles stockées dans les systèmes informatiques de l'entreprise.

Avec les privilèges obtenus et la dispersion sur le réseau, déployer un ransomware va se faire facilement par le biais des logiciels malveillants déjà en place (comme Cobaltstrike par exemple) sur commande du serveur de commande et contrôle des hackers.

Les systèmes de traitement automatisé de données sont des cibles privilégiées pour les cyberattaques en raison de leur rôle central dans la gestion des informations critiques. Les entreprises doivent garantir la sécurité de ces systèmes en mettant en place des mesures de protection robustes et en surveillant en permanence les activités suspectes.

A noter qu’en amont de cette phase, les hackers chercheront bien évidemment à compromettre toutes les sauvegardes auxquelles ils pourraient avoir accès.

Le modèle du Ransomware as a Service (RaaS) a démocratisé l'accès aux ransomwares. Des hackers expérimentés fournissent des outils et des services permettant à n'importe qui, moyennant paiement, de lancer des attaques de ransomware. Cette tendance a considérablement augmenté le nombre de ransomware attacks dans le monde.

Dans la majorité des cas, les gangs se sont spécialisés. Accès initial, exploitation, fourniture de ransomware as a service (RaaS), la chaîne de valeur est bien séparée. Là, il suffit d’une porte d’entrée (et de payer) et les équipes du RaaS fournissent un guide détaillé pour déployer le ransomware, et même un support client, pour le gang chargé de l’exploitation de l’attaque.

Pour l’anecdote, le recours à un RaaS n’est pas sans risque : il arrive que ces hackers se copient eux-même les données et doublent leur client dans la demande de rançon (qui a dit qu’il y avait de l’honneur entre voleurs ?).

Les hackers déploient donc un ransomware, et l’attaque va suivre un schéma relativement classique :

Data exfiltration : si les hackers ont envie de récupérer une copie des données

Edition des privilèges : on retire aux utilisateurs légitimes leur niveau de privilège

Chiffrement des données : les données sont soit détruites (lorsque les hackers en ont récupéré une copie) soit chiffrées. Les différents ransomware utilisent des approches différentes, que ce soit en chiffrant soit le disque entier soit les dossiers individuellement. Chiffrement ou destruction des sauvegardes également.

Rançon : les hackers demandent une rançon pour récupérer les données, voire menacent de les faire fuiter pour nuire à la réputation de la cible (double voir triple extorsion)

Lorsque des fichiers sont chiffrés lors d'une attaque de ransomware, les hackers demandent souvent à la victime de payer une rançon pour récupérer les decryption keys. Il est important de noter que payer la rançon ne garantit pas toujours la récupération des données et encourage les criminels à continuer leurs activités.

Cycle de vie d'un rançongiciel

Conclusion

Le phishing, souvent perçu comme une menace mineure, est en réalité l’une des principales portes d’entrée des cyberattaques, représentant près de 80% des incidents. Sous-estimer le danger que représente la compromission d’un simple compte, même anodin, expose l’entreprise à des risques considérables. Chaque compte compromis offre aux hackers une opportunité d'infiltration, d'escalade de privilèges et de propagation à travers le réseau.

Cet article a illustré un schéma standard de cyberattaque en quatre étapes : reconnaissance, infiltration, exploitation et impact. L'objectif n'était pas d'être exhaustif mais de fournir une vue d'ensemble claire et accessible, essentielle pour sensibiliser les équipes à l’importance de la prévention et de la conformité en matière de sécurité.

En conclusion, il est impératif de renforcer les défenses contre le phishing et d'éduquer continuellement les employés. Une sécurité robuste commence par la vigilance individuelle et la protection de chaque compte utilisateur, car même le maillon le plus faible peut compromettre l'ensemble du réseau.

Article rédigé par :
Cyber Albert

L'atout charme et choc de BonjourCyber®

Read similar articles

Les guides de la cybersécurité
La solution MFA me protège-t-elle à 100 % ?
July 18, 2024
3 minutes
Les guides de la cybersécurité
Comprendre la gamification dans la cybersécurité
July 18, 2024
3 minutes
Les guides de la cybersécurité
Comprendre l'OSINT en 3 minutes
July 17, 2024
3 minutes
Logo bonjourcyber petit
Liens rapides
Notre offreAvis clientQui sommes-nous ?Pourquoi ?Contacter BonjourCyberMentions légalesCGUPolitique de confidentialitéCookiesRecrutement
On se dit bonjour ?
téléphone bonjourcyber+33 1 76 35 03 04
site web bonjourcyberwww.bonjourcyber.com
Bonjourcyber est expert cyber.
BonjourCyber est membre de l'association hexatrust
BonjourCyber est labelisé France Cyber Security
© All rights reserved by BonjourCyber®