Les failles de la protection ransomware de Miscrosoft

Ces attaques de ransomwares qui échappent à Microsoft

Share with your network!

07/10/2021 - 10:53 Proofpoint

Microsoft, le terrain de jeu des cybercriminels

Cette publication s'inscrit dans le cadre d'une série d'articles de blog traitant de différents types d'attaques par email centrées sur les personnes que Microsoft ne parvient pas à détecter.

Ces attaques coûtent aux entreprises des millions de dollars chaque année et provoquent la frustration tant des utilisateurs que des équipes chargées de la sécurité informatique, en raison, d'une part, de la facilité avec laquelle elles contournent les techniques de détection et, d'autre part, des limites inhérentes des dispositifs de sécurité de la messagerie mis en œuvre par Microsoft.

Cette série vous expliquera en détail, avec des exemples récents pour illustrer notre propos, comment Microsoft passe à côté de différents types d'attaques :

Piratage de la messagerie en entreprise (BEC) ou fraude par email
Ransomware
Risque pour la chaîne logistique
Compromission de compte
Partage de fichiers malveillants

Abonnez-vous à notre blog (au bas de cette page) pour rester informé des échecs de détection susceptibles de mettre en danger votre entreprise. Utilisez également notre évaluation des menaces pour mieux cerner les risques qui pèsent sur votre entreprise.

Attaques de ransomwares non détectées par Microsoft

Les attaques de ransomwares ont enregistré une hausse spectaculaire l'année dernière. Le rapport Le facteur humain 2021 de Proofpoint relève que, d'après les chiffres du gouvernement américain, ces attaques ont augmenté de 300 % en 2020.

Une étude du Ponemon Institute révèle par ailleurs que ces attaques sont de plus en plus coûteuses et qu'une entreprise moyenne de 10 000 collaborateurs dépense près de 6 millions de dollars par an à cause des ransomwares.

Pendant des années, les attaques de ransomwares se sont principalement appuyées sur l'email comme point d'accès initial aux systèmes. Plus récemment, les opérateurs de ransomwares ont adopté une stratégie de « chasse au gros gibier », avec pour objectif de chiffrer un maximum de systèmes et de dérober autant de données que possible afin d'accroître leur pouvoir de négociation des demandes de rançon.

Le ransomware lui-même est généralement distribué en tant que charge virale de deuxième, voire de troisième phase, dans le sillage de l'installation d'un malware faisant office de téléchargeur ou du vol d'identifiants de connexion (par de multiples moyens).

Plusieurs cybercriminels très actifs se sont convertis en courtiers d'accès initial et sont passés de la distribution de chevaux de Troie bancaires à la vente de leurs accès à d'autres groupes cybercriminels.

Ces groupes procèdent alors généralement à une élévation de leurs privilèges jusqu'à des niveaux d'administration afin de compromettre plus largement l'environnement, puis de lancer une attaque coordonnée à l'aide de leur propre ransomware ou de l'un des nombreux outils RaaS (Ransomware-as-a-Service) à leur disposition.

Selon une étude de Unit 42, l'équipe de threat intelligence de Palo Alto Networks, l'email demeure le principal vecteur des attaques de ransomware, 75 % de celles-ci passant par ce canal. Bon nombre des attaques prennent désormais la forme de campagnes en plusieurs phases, un malware étant utilisé dans un premier temps pour infecter les systèmes avec un ransomware.

Graphique de Palo Alto Networks montrant l'origine des ransomwares – part de l'email : 75 %

Figure 1. L'étude réalisée par l'équipe Unit 2 de Palo Alto Networks montre que l'email est à l'origine de plus de 75 % des attaques de ransomware

Dans le cadre de l'analyse des données de ses solutions de protection de la messagerie électronique, Proofpoint a détecté l'année dernière plus de 48 millions d'échantillons de malwares susceptibles d'avoir été utilisés pour lancer des attaques de ransomwares. (Cette information fait partie des observations mises en avant dans notre rapport Le facteur humain 2021.)

Microsoft, dans le cadre d'un ensemble limité d'évaluations des menaces menées le mois dernier, a laissé passer plus de 850 messages contenant un ransomware de première phase attesté et près de 8 000 messages porteurs de ransomwares potentiels.

Ces échecs de détection sont extrêmement dangereux pour les équipes de sécurité et précieux pour les cybercriminels dès lors qu'il suffit d'un seul téléchargeur pour compromettre l'entreprise toute entière.

Compte tenu d'un taux de clics moyen de 11 %, ces manquements de la part de Microsoft ouvrent la porte à l'exécution du code malveillant sur plusieurs machines dans un environnement d'entreprise standard. Les cybercriminels étant friands de macros malveillantes et de malwares sans fichier, la détection au niveau des endpoints est mise à rude épreuve, car elle ne peut se limiter à réagir aux tentatives d'infection directe par email.

Dans un établissement de soins de santé de 4 000 collaborateurs, Microsoft est passé à côté de plus de 1 800 messages contenant des ransomwares potentiels, une situation qui pourrait entraîner des dizaines de compromissions par mois sur la base d'un taux de clics standard.

Dans un établissement d'enseignement supérieur comptant 10 000 collaborateurs, ce sont plus de 850 messages contenant un ransomware de premier niveau attesté, et 1 800 messages supplémentaires porteurs de ransomwares potentiels qui ont échappé à Microsoft.

Enfin, dans une entreprise du secteur manufacturier de 24 000 collaborateurs, Microsoft a échoué à identifier 750 messages contenant des ransomwares potentiels.

Vous trouverez ci-dessous un échantillon des types d'attaques de ransomware non détectées par Microsoft qui ont été mises au jour par de récentes évaluations des menaces réalisées par Proofpoint.

Aperçu d'une attaque de Qbot via un document Excel :

Environnement : Microsoft 365
Catégorie de menace : pièce jointe
Type d'attaque : enregistreur de frappe en tant que courtier d'accès initial pour le ransomware
Cible : boîte email partagée

Aperçu d'une attaque de Qbot via un document Excel

Figure 2. Attaque de Qbot via un document Excel

Anatomie de l'attaque :

Cette attaque de ransomware a utilisé divers leurres pour contourner les dispositifs de protection, dont l'usurpation d'identité, l'obfuscation de fichiers et des techniques de contournement de l'environnement sandbox.

L'email donne l'impression d'émaner d'un partenaire commercial avec lequel la cible a des échanges réguliers. La veille contre l'usurpation d'identité de Microsoft n'a fourni aucune protection contre cette tactique, malgré la discordance évidente entre l'adresse d'envoi et l'adresse de l'expéditeur du message.
La tactique d’obfuscation de fichiers recourt à une pièce jointe Excel compressée qui utilise des macros pour télécharger et exécuter Qbot. Microsoft ne l'a pas détectée.
La charge virale utilise des techniques de contournement de l'environnement sandbox qui ont également échappé à Microsoft.

D'autres exemples de ransomwares non détectés par Microsoft recourent à des tactiques d'ingénierie sociale pour inciter les utilisateurs à interagir.

Aperçu de l'attaque du cheval de Troie d'accès à distance Bandook via un document PDF :

Environnement : Microsoft 365
Catégorie de menace : pièce jointe
Type d'attaque : malware en tant que courtier d'accès initial pour le ransomware
Cible : ingénieur du service client

Aperçu de l'attaque du cheval de Troie d'accès à distance Bandook via un document PDF

Figure 3. Attaque du cheval de Troie d'accès à distance Bandook via un document PDF

Anatomie de l'attaque :

Cette attaque de ransomware a utilisé divers leurres pour contourner les défenses, dont l'usurpation d'identité, l'ingénierie sociale, l'obfuscation d'URL et des techniques de contournement de l'environnement sandbox.

L'email, dont l'objet a été localisé, donne l'impression d'émaner d'un partenaire commercial avec lequel la cible a des échanges réguliers. La veille contre l'usurpation d'identité de Microsoft n'offre aucune protection contre les menaces de ce type puisque le message provient d'un compte compromis chez le partenaire commercial de la cible.
La pièce jointe elle-même était inoffensive mais contenait une URL intégrée.
La tactique d'obfuscation de l'URL, qui a échappé à Microsoft, redirigeait vers une URL contenant un fichier exécutable compressé et protégé par mot de passe conduisant au cheval de Troie d'accès à distance Bandook.
La charge virale utilise des techniques de contournement de l'environnement sandbox qui n'ont pas été détectées par Microsoft.

Ce type d'attaque est dangereux en raison de son caractère personnalisé et de sa distribution à un destinataire unique. Néanmoins, les attaques qui ciblent des boîtes email partagées ont plus de chances d'inciter les utilisateurs à interagir.

Aperçu de l'attaque de The Trick via un document Excel :

Environnement : Microsoft 365
Catégorie de menace : pièce jointe
Type d'attaque : malware en tant que courtier d'accès initial pour le ransomware
Cible : liste de diffusion publique

Aperçu de l'attaque de The Trick via un document Excel

Figure 4. Attaque de The Trick via un document Excel

Anatomie de l'attaque :

Cette attaque de ransomware faisait appel à divers leurres pour contourner les dispositifs de défense, dont le contournement des analyses de la réputation et des vérifications SPF et DKIM. Elle recourait également à des tactiques d'obfuscation de fichiers et de contournement de l'environnement sandbox.

L'email provenait d'un compte compromis, ce qui permettait de contourner les vérifications SPF et DKIM et d'accroître la légitimité du message au regard du destinataire. Les analyses de réputation exécutées par Microsoft ne détectent que les menaces connues. Vu que le message était envoyé à une liste de diffusion, la probabilité d'une interaction des utilisateurs avec le message était plus élevée.
Microsoft n'a pas détecté la tactique d'obfuscation intégrée au document Excel, lequel utilisait des macros Excel 4.0 (un format de document vieux de trente ans, toujours pris en charge par Microsoft et facile à utiliser comme véhicule pour des malwares) pour télécharger The Trick.
La charge virale utilise des techniques de contournement de l'environnement sandbox qui n'ont pas été détectées par Microsoft.

S'appuyer sur un dispositif de protection des emails « acceptable » peut vous exposer à un risque plus élevé d'attaques de votre réseau par des ransomwares.

Comment Proofpoint bloque les ransomwares

Avant toute autre chose, il convient de noter que Proofpoint aurait détecté tous les messages présentés dans les exemples ci-dessus et empêché leur distribution.

Proofpoint est le seul fournisseur à proposer une solution intégrée de bout en bout pour lutter contre les ransomwares. Nous avons mis au point des techniques de détection multicouches afin de vous protéger contre les menaces en constante évolution.

Les documents malveillants connus sont automatiquement bloqués, tandis que les pièces jointes inconnues sont analysées en environnement sandbox. Cela permet de contrer les tentatives de contournement exploitant des fichiers protégés par mot de passe, des pièces jointes avec URL intégrées et des fichiers compressés.

Nos composants d'apprentissage automatique conçus pour protéger les URL et les pièces jointes sont entraînés par nos ensembles de données exceptionnels, issus de sources mondiales et du déploiement de nos solutions de protection contre le premier vecteur de menace dans un nombre d'entreprises figurant aux classements Fortune 100, Fortune 1000 et Global 2000 supérieur à celui de tout autre fournisseur de solutions de sécurité.

Comparaison de Proofpoint Attachment Defense et de la fonctionnalité Pièces jointes fiables de Microsoft

Figure 5. Comparaison de Proofpoint Attachment Defense et de la fonctionnalité Pièces jointes fiables de Microsoft

Recommandations pour la prévention des attaques de ransomwares

Avec sa plateforme Threat Protection, Proofpoint adopte une approche de protection multicouche contre les attaques de ransomwares et offre dès lors un nombre accru de niveaux de protection aux entreprises. Parmi ces couches, citons nos fonctions de pointe de détection, d'isolation, d'authentification, de formation et de correction automatisée.

En matière de phishing, il n'existe pas de solution miracle alors que la menace ne fait que croître. C'est pour cette raison qu'une solution de protection multicouche et intégrée est indispensable. Proofpoint tire également parti de l'apprentissage automatique et de technologies avancées de sandboxing pour bloquer non seulement les ransomwares, mais aussi les attaques BEC, le phishing, la prise de contrôle de comptes et bien d'autres menaces.

Pour en savoir plus sur la façon dont nous pouvons bloquer ces menaces et bien d'autres dans votre environnement grâce à la plateforme Proofpoint Threat Protection, consultez cette page. Vous pouvez aussi prendre rendez-vous pour que nous réalisions une évaluation gratuite des menaces liées à la messagerie électronique.