Récits de ransomware : l'attaque MitM qui a vraiment eu un homme au milieu

Récits de ransomware : l'attaque MitM qui a vraiment eu un homme au milieu

Horodatage: 24 mai 2023 1:59
Nœud source: 2674840
by

Il a fallu plus de cinq ans pour que justice soit rendue dans cette affaire, mais les flics et les tribunaux arrivés là à la fin.

Le bureau britannique d'application de la loi SEROCU, abréviation de Unité régionale du crime organisé du Sud-Est, a rapporté cette semaine le histoire particulière d'un certain Ashley Liles, l'homme du milieu littéral dont nous avons parlé dans le titre.

De nos jours, nous élargissons généralement le terme de jargon MitM vouloir dire Manipulateur au milieu, non seulement pour éviter le terme genré "homme", mais aussi parce que de nos jours, de nombreuses attaques MitM, sinon la plupart, sont effectuées par des machines.

Certains technophiles ont même adopté le nom Machine au milieu, mais nous préférons "manipulateur" parce que nous pensons qu'il décrit utilement le fonctionnement de ce type d'attaque, et parce que (comme le montre cette histoire) parfois c'est vraiment l'homme, et non une machine, au milieu.

MitM expliqué

Une attaque MitM dépend de quelqu'un ou de quelque chose qui peut intercepter les messages qui vous sont envoyés, et les modifier au passage afin de vous tromper.

L'attaquant modifie généralement également vos réponses à l'expéditeur d'origine, afin qu'il ne détecte pas la tromperie et se fasse piéger avec vous dans la supercherie.

Comme vous pouvez l'imaginer, la cryptographie est un moyen d'éviter les attaques MitM, l'idée étant que si les données sont chiffrées avant d'être envoyées, alors quiconque ou quoi que ce soit au milieu ne peut pas du tout en comprendre le sens.

L'attaquant aurait non seulement besoin de déchiffrer les messages de chaque extrémité pour comprendre ce qu'ils signifient, mais également de rechiffrer correctement les messages modifiés avant de les transmettre, afin d'éviter la détection et de maintenir la trahison.

Un conte MitM classique et fatal remonte à la fin des années 1580, lorsque les maîtres-espions de la reine Elizabeth I d'Angleterre ont pu intercepter et manipuler la correspondance secrète de Mary, reine d'Écosse.

Mary, qui était la cousine d'Elizabeth et sa grande rivale politique, était à l'époque en résidence surveillée stricte; ses messages secrets ont apparemment été introduits et sortis en contrebande dans des barils de bière livrés au château où elle était détenue.

Fatalement pour Mary, les maîtres-espions de la reine Bess ont non seulement pu intercepter et lire les messages de Mary, mais aussi envoyer des réponses falsifiées qui ont incité Mary à mettre suffisamment de détails par écrit pour cuisiner sa propre oie, pour ainsi dire, révélant qu'elle était au courant de, et activement soutenu, un complot visant à faire assassiner Elizabeth.

Mary a été condamnée à mort et exécutée en 1587.

Avance rapide jusqu'en 2018

Cette fois, heureusement, il n'y avait pas de plan d'assassinat et l'Angleterre a aboli la peine de mort en 1998.

Mais ce crime d'interception de messages du XXIe siècle était aussi audacieux et sournois que simple.

Une entreprise à Oxford, en Angleterre, juste au nord de Sophos (nous sommes à 15 km en aval à Abingdon-on-Thames, au cas où vous vous poseriez la question) a été touchée par un ransomware en 2018.

En 2018, nous étions déjà entrés dans l'ère contemporaine des rançongiciels, où les criminels s'introduisent et font chanter des entreprises entières à la fois, demandant d'énormes sommes d'argent, au lieu de s'en prendre à des dizaines de milliers de propriétaires d'ordinateurs individuels pour 300 $ chacun.

C'est à ce moment-là que l'auteur désormais condamné est passé du statut d'administrateur système dans l'entreprise concernée à celui de cybercriminel Man-in-the-Middle.

Alors qu'il travaillait avec l'entreprise et la police pour faire face à l'attaque, l'agresseur, Ashely Liles, 28 ans, s'est retourné contre ses collègues en :

  • Modification des messages électroniques des escrocs d'origine à ses patrons et modification des adresses Bitcoin répertoriées pour le paiement du chantage. Liles espérait ainsi intercepter tous les paiements qui pourraient être effectués.
  • Usurpation des messages des escrocs d'origine pour augmenter la pression à payer. Nous supposons que Liles a utilisé ses connaissances d'initiés pour créer des scénarios du pire des cas qui seraient plus crédibles que toutes les menaces que les attaquants d'origine auraient pu proposer.

Le rapport de police ne précise pas exactement comment Liles avait l'intention d'encaisser.

Peut-être avait-il simplement l'intention de s'enfuir avec tout l'argent et d'agir ensuite comme si l'escroc de chiffrement avait coupé et couru et s'était enfui avec les crypto-monnaies elles-mêmes ?

Peut-être a-t-il ajouté sa propre majoration aux frais et a-t-il tenté de négocier la demande des attaquants à la baisse, dans l'espoir de se dégager un énorme salaire tout en acquérant néanmoins la clé de déchiffrement, devenant un héros dans le processus de "récupération" et détournant ainsi les soupçons. ?

Le défaut du plan

En l'occurrence, le plan ignoble de Liles a été ruiné par deux choses : l'entreprise n'a pas payé, il n'y avait donc pas de Bitcoins à intercepter, et ses manipulations non autorisées dans le système de messagerie de l'entreprise sont apparues dans les journaux système.

La police a arrêté Liles et fouillé son équipement informatique à la recherche de preuves, pour découvrir qu'il avait effacé ses ordinateurs, son téléphone et un tas de clés USB quelques jours plus tôt.

Néanmoins, les flics ont récupéré les données des appareils pas aussi vides qu'il le pensait, le liant directement à ce que vous pouvez considérer comme une double extorsion : essayer d'arnaquer son employeur, tout en arnaquant les escrocs qui escroquaient déjà son employeur.

Curieusement, cette affaire a traîné pendant cinq ans, Liles clamant son innocence jusqu'à ce qu'il décide soudainement de plaider coupable lors d'une audience le 2023/05/17.

(Plaidoyer coupable vaut une réduction de peine, bien que selon la réglementation actuelle, le montant de la "réduction", comme on l'appelle assez étrangement mais officiellement connu en Angleterre, diminue à mesure que l'accusé tient longtemps avant d'admettre qu'il l'a fait.)

Que faire?

Il s'agit de la deuxième menace interne nous avons écrit sur ce mois-ci, nous allons donc répéter les conseils que nous avons donnés précédemment :

  • Diviser et conquérir. Essayez d'éviter les situations où les administrateurs système individuels ont un accès illimité à tout. Cela rend plus difficile pour les employés voyous de concocter et d'exécuter des cybercrimes «initiés» sans coopter d'autres personnes dans leurs plans, et donc risquer une exposition précoce.
  • Conservez des journaux immuables. Dans ce cas, Liles n'a apparemment pas été en mesure de retirer les preuves montrant que quelqu'un avait trafiqué le courrier électronique d'autres personnes, ce qui a conduit à son arrestation. Faites en sorte qu'il soit aussi difficile que possible pour quiconque, qu'il soit de l'intérieur ou de l'extérieur, de falsifier votre cyberhistorique officiel.
  • Mesurez toujours, ne présumez jamais. Obtenez une confirmation indépendante et objective des réclamations de sécurité. La grande majorité des administrateurs système sont honnêtes, contrairement à Ashley Liles, mais peu d'entre eux ont raison à 100 % tout le temps.

    MESUREZ TOUJOURS, N'ASSUMEZ JAMAIS

    Vous manquez de temps ou d'expertise pour vous occuper de la réponse aux menaces de cybersécurité ?
    Vous craignez que la cybersécurité finisse par vous distraire de toutes les autres choses que vous devez faire ?

    Découvrez Sophos Managed Detection and Response:
    Recherche, détection et réponse aux menaces 24h/7 et XNUMXj/XNUMX  ▶

    EN SAVOIR PLUS SUR LA RÉPONSE AUX ATTAQUES

    Encore une fois à la brèche, chers amis, encore une fois !

    Peter Mackenzie, directeur de la réponse aux incidents chez Sophos, parle de la lutte contre la cybercriminalité dans une session qui va vous alarmer, vous amuser et vous éduquer, le tout dans une égale mesure. (Transcription complète disponible.)

    Cliquez et faites glisser sur les ondes sonores ci-dessous pour passer à n'importe quel point. Vous pouvez également écouter directement sur Soundcloud.

Horodatage:

Plus de Sécurité nue