R4IoT : quand les rançongiciels rencontrent l’Internet des objets

Au cours des dernières années, les actifs de rançon se sont développés en raison de deux tendances continues :

  1. La transformation numérique entraîne une augmentation rapide du nombre d’appareils IoT dans les organisations
  2. Convergence des réseaux IT et OT

Les rédempteurs ont évolué rapidement et sont passés du cryptage pur des données jusqu’en 2019 au filtrage des données avant cryptage en 2020 à de grandes campagnes de chantage en plusieurs étapes en 2021. Cette tendance s’est poursuivie début 2022 avec l’émergence de nouvelles familles très complexes d’actifs de rançon. comme ALPHV et plus d’attaques en tant que service de rançon (RaaS) par des groupes tels que Conti. Cette évolution des méthodes d’attaque signifie que les forces des ransomwares peuvent désormais paralyser presque toutes les organisations.

Aujourd’hui, Vedere Labs de Forescout publie un rapport d’information qui fournit des instructions étape par étape sur la façon dont les organisations peuvent se protéger contre les nouveaux types d’attaques de ransomwares qui utilisent des appareils de l’Internet des objets, tels que des caméras vidéo, pour déployer des ransomwares. Le rapport contient une preuve approfondie de ce nouveau vecteur d’attaque, qui, selon Vedere Labs, sera la prochaine étape dans le développement de ransomwares – nous appelons ce nouveau mode d’attaque “Ransomware for IoT” ou R4IoT. Le rapport R4IoT décrit comment les appareils IoT peuvent être utilisés pour l’accès initial et le mouvement latéral des appareils informatiques et OT afin de provoquer une perturbation physique des opérations commerciales.

La rançon prouvant le concept décrit dans le rapport R4IoT tire parti de la première tendance (la croissance des appareils IoT) en utilisant des appareils vulnérables tels qu’une caméra vidéo IP ou un périphérique de stockage en réseau (NAS) comme point d’accès initial. réseau. Il profite de la deuxième tendance (la convergence des réseaux IT et OT) pour garder les appareils OT en otage, ajoutant ainsi une autre couche de chantage à la campagne d’attaque.

Cette étude est la première du genre car :

  • Nous avons implémenté et décrit en détail les procédures de détection et de réponse aux attaques R4IoT qui agissent comme un livre de jeu pour les organisations qui souhaitent se protéger contre les menaces actuelles et futures.
  • Il s’agit du premier travail qui relie les mondes des ransomwares IT, OT et IoT et a une preuve de concept complète depuis l’accès initial à l’Internet des objets jusqu’au mouvement latéral dans le réseau IT, puis l’impact dans le réseau OT. Outre le chiffrement, la preuve du concept d’équipement informatique comprend également la mise en œuvre d’un logiciel de minage cryptographique et le filtrage des données.
  • L’impact sur OT ne se limite pas aux systèmes d’exploitation courants (tels que Linux) ou aux types d’appareils (tels que l’automatisation des bâtiments), ne nécessite pas de modification persistante ou de micrologiciel sur les appareils cibles et s’exécute à grande échelle sur de nombreux appareils affectés par TCP / Vulnérabilités de la pile IP.

Cette preuve de concept, présentée dans la vidéo ci-dessous et décrite en détail dans le rapport technique, est un exemple clair de la façon dont l’exploitation de l’Internet des objets et de l’OT peut être combinée avec une campagne offensive traditionnelle. Il montre également que pour atténuer ce type d’attaque, les organisations ont besoin de solutions qui permettent une grande visibilité et un meilleur contrôle de tous les actifs du réseau.

Atténuation des actifs de rançon

En plus de démontrer le fonctionnement de l’attaque R4IoT, le rapport montre qu’il existe des moyens de réduire la probabilité et l’impact de ce type d’incident sur les organisations, réduisant ainsi le risque global auquel elles sont confrontées. Trois conclusions importantes de notre étude sur le paysage des menaces de rançon permettent d’atténuer cette menace grâce aux fonctionnalités du NIST Cyber ​​​​Security Framework :

  • Identification et protection sont possibles car il y a des centaines d’attaques très similaires en même temps. Par exemple, en 2021, Contil a eu plus de 400 attaques réussies contre les États-Unis et des organisations internationales. Cela signifie qu’il est possible d’identifier les appareils et les vulnérabilités qui sont activement utilisés afin que leur protection puisse être priorisée.
  • Remarquer est possible car la plupart des outils et techniques utilisés par ces acteurs sont bien connus. Présentation des meilleures tactiques, techniques et procédures (TTP) que les logiciels malveillants utiliseront en 2021.
  • Réponse et récupération sont possibles car les attaques ne sont pas immédiates et entièrement automatisées. Le temps d’attente moyen pour les attaquants de rançon en 2021 était de cinq jours.

La mise en œuvre de cette atténuation nécessitera une grande visibilité et un contrôle accru de tous les actifs en ligne. La plate-forme Forescout Continuum aide à atteindre cet objectif en :

  • Une excellente vue d’ensemble de l’ensemble du paysage de vos actifs sans perturber les processus commerciaux importants. Une fois les appareils connectés détectés, Forescout les classera automatiquement et les évaluera en fonction des politiques de l’entreprise. Une puissante combinaison de ces trois options – détection, classification et valorisation – donne aux actifs une visibilité permettant d’orienter les politiques et les activités appropriées.
  • Visibilité complète et cyber-résilience avec un inventaire des actifs et des communications basé sur DPI. Il permet des capacités de surveillance du réseau et de recherche de menaces, telles que des indicateurs de menace et de vulnérabilité.
  • Conception, planification et déploiement accélérés de la segmentation dynamique du réseau dans toute l’entreprise pour réduire votre espace d’attaque et les risques réglementaires. Cela simplifie le processus de création de politiques de segmentation sensibles au contexte et permet de visualiser et de simuler les politiques pour un ajustement et une validation proactifs avant leur application.
  • Partage du contexte de l’appareil entre la plate-forme Forescout Continuum et d’autres produits informatiques et de sécurité pour automatiser l’application des politiques sur différentes solutions et accélérer l’atténuation des risques à l’échelle du système.

Le post R4IoT : quand la rançon rencontre l’Internet des objets est apparu en premier sur Forescout.

*** Il s’agit d’un blog syndiqué du réseau Forescout Security Bloggers de Vedere Labs. Lisez le message original sur : https://www.forescout.com/blog/r4iot-when-ransomware-meets-the-internet-of-things/

Leave a Comment