SwiftSlicer : nouveau malware qui s'attaque à l'Active Directory
-
Le 25 janvier, le groupe de recherche ESET a découvert une nouvelle cyberattaque en Ukraine. Les attaquants du groupe Sandworm ont déployé un nouveau malware nommé SwiftSlicer, qui vise à détruire l’Active Directory.
Tribune – Dans ce contexte, voici le commentaire de Regis Alix, Senior Principal Solutions Architect de Quest Software – fournisseur mondial de logiciels de gestion des systèmes et de sécurité :
« Ce n’est pas le premier malware de type « wiper » (dont l’objectif principal est de détruire des données ou des systèmes) déployé par le groupe Sandworm. Pourtant, SwiftSlicer est le premier qui vise directement l’Active Directory en détruisant sa base de données via une attaque directe du fichier NTDS.DIT sur les contrôleurs de domaines.
SwiftSlicer a été détecté dans le cadre d’une cyberattaque que l’on pourrait qualifier de « géopolitique » dont le but est, évidemment, de perturber des organisations et pas de générer un revenu financier. Cependant, de nombreuses études récentes montrent que les attaques de type ransomware réussies sont de moins en moins nombreuses. Il est donc fort probable que les groupes cyber malveillants cherchent à diversifier leurs sources de revenu en se dirigeant vers la spéculation financière, en cherchant à détruire les systèmes principaux d’organisations influentes sur les marchés afin de les déstabiliser. Les ‘wipers’ pourraient donc progressivement remplacer, au moins en partie, les ransomwares.
La première leçon importante à tirer de l’attaque SwiftSlicer est le déploiement de la charge virale par les GPO de l’Active Directory. Le malware utilise ce processus de déploiement de configurations et d’applications natif de l’Active Directory pour le détruire. Malheureusement, de nombreuses organisations ne considèrent pas encore les GPO comme une part critique de la sécurisation de leurs environnements. La compromission d’une GPO permet à un attaquant de réduire drastiquement le niveau de sécurité de l’ensemble des systèmes attachés à l’AD ainsi que de l’AD lui-même ou encore, comme c’est le cas de SwiftSlicer, de déployer sa charge virale active sur les machines cibles par ce processus intégré à l’AD et donc peu ou pas surveillé par les différents systèmes de protection tels que les EDR, XDR etc.
Il est donc évident que la surveillance ainsi que la sécurisation de l’administration des GPO est critique pour la sécurité des environnements Microsoft.
Le second point mis en évidence par cette nouvelle attaque est que l’Active Directory est plus que jamais une cible et qu’en plus de sa compromission, c’est sa destruction pure et simple qui est recherchée. La mise en place d’un plan de reprise d’activité (PRA) spécifique à l’AD incluant des sauvegardes multiples et protégées, ainsi qu’une procédure de restauration la plus automatisée possible de l’AD, est indispensable pour préparer une éventuelle crise dont la probabilité ne cesse d’augmenter. »
