Le ransomware est un malware qui crypte les données sur les machines qu’il infecte. Les personnes ou entités à l’origine de l’attaque demandent alors le paiement d’une rançon en échange de la clé de déchiffrement des systèmes concernés. La conférence organisée par le Cyber Club par EGE le mardi 20 mai 2020 avait pour objectif de jeter les bases d’une gestion de crise pour une entreprise victime d’un tel processus. Béatrice Ghorra, ingénieure avant-vente spécialisée dans les produits de sécurité des centres de données et de l’environnement cloud au CISCO et enseignante à la School of Economic Warfare, était la modératrice de cette conférence.
ransomware
En juin 2017, Wannacry a fait la une des ransomwares pour tous les médias. Ce fut l’attaque informatique la plus massive de l’histoire du domaine. La publicité sur l’incident est un tournant pour le monde de la cybersécurité et les problèmes qui en découlent car ils sont mis en avant. Le discours des professionnels de la discipline est alors légitimé là où ils avaient déjà eu du mal à entendre. Le ransomware, pour le désigner avec le terme français, représente toujours une menace de premier ordre. Selon le CERT France, il s’agit même du risque le plus grave pour les entreprises. La crise actuelle associée à COVID-19 et le succès des campagnes malveillantes liées à l’essor du télétravail en témoignent: particuliers, professionnels, PME ainsi que multinationales, personne n’est à l’abri.
Il est nécessaire de bien comprendre comment ces attaques fonctionnent et les mentors des attaquants pour mieux gérer le risque et la crise si nécessaire. Depuis l’avènement de ce mode de fonctionnement dans les années 80, les attaquants ont affiné leurs techniques et méthodes d’accès aux systèmes d’information. On voit que l’attaquant cherche toujours des portes dérobées. Ils ne veulent pas attaquer le système de front, mais contourner autant que possible les couches de sécurité. En particulier, parmi les vecteurs qui permettent l’infection figurent:
Campagnes de phishing, désormais précédées d’opérations d’ingénierie sociale pour personnaliser les e-mails et optimiser la pénétration.
L’annonce erronée ou « téléchargement en voiture » qui vous permet de démarrer des téléchargements instantanés via des fenêtres contextuelles qui redirigent vers d’autres pages.
Ils ont oublié ou dépassé des machines dans un système d’information. Il existe de nombreuses plates-formes que vous pouvez acheter des informations d’identification pour vous connecter à l’équipement d’une multitude d’entreprises à des prix élevés.
Les fameux périphériques USB, mais non moins efficaces, ont été perdus.
À titre d’exemple, voici le mode de fonctionnement de Loki, une solution qui est apparue pour la première fois en 2013:
Un fichier PDF est capturé et envoyé en pièce jointe à un e-mail soigneusement conçu afin que le destinataire ne se méfie pas d’eux et n’ouvre pas le fichier. Cette action exécute un extrait de code trouvé dans la pièce jointe qui ouvre un canal de communication vers un serveur de commande et de contrôle (C2) sous le contrôle de l’attaquant. Ce serveur télécharge instantanément un ransomware et une clé de cryptage. Le logiciel analyse ensuite méthodiquement le disque dur de l’utilisateur et crypte tous ses fichiers. Ensuite, l’ordinateur est crypté. Un message et un compte à rebours apparaissent sur l’écran montrant les instructions de paiement, souvent associées à la crypto-monnaie, ce qui rend le suivi difficile, permettant aux données de la machine cryptée d’être restaurées.
Certains ransomwares tentent également de se propager latéralement, c’est-à-dire vers toutes les stations voisines pour paralyser complètement un maximum d’équipements. Il a fallu environ sept minutes à NotPetya pour chiffrer l’intégralité du système d’information de Maersk, la plus grande société de transport de conteneurs au monde.
Cependant, les entreprises sont de moins en moins susceptibles de payer la rançon, ce qui équivaut à des montants vertigineux, nous parlons de dizaines de millions de dollars pour les plus importantes. Sophos estime qu’il est toujours plus rentable pour l’entreprise de ne pas payer car les dommages sont déjà présents et qu’il n’y a aucune garantie que l’attaquant tiendra sa parole et fournira la clé de déchiffrement. Ces derniers se sont donc adaptés et procèdent désormais à l’extraction des données par l’entreprise pour obtenir un effet de levier supplémentaire en menaçant leurs victimes de la diffusion des informations ainsi collectées en public.
Les attaquants à l’origine de la campagne de rançongiciels Maze, qui a vu le jour en novembre 2019, maintiennent ainsi un site Web sur lequel ils publient des informations d’entreprises qui refusent de payer la rançon. Maze a également la particularité d’être au cœur d’une attaque dite à long cycle. Une fois qu’une machine a été infectée, une semaine est consacrée à la reconnaissance et à la collecte d’informations utiles sur l’architecture réseau de l’entreprise, les employés et leurs informations d’identification, les comptes d’utilisateurs, etc. La semaine suivante est consacrée aux mouvements latéraux et au filtrage des données à installer dans autant de machines que possible et à maximiser les chances de paiement. Enfin, au cours de la troisième semaine de la campagne, les attaquants tentent de transiger avec Active Directory (serveur central et critique qui donne à la personne en contrôle ce qu’elle veut au sein du système d’information) et implémentent le labyrinthe sur toutes les machines infectées.
Il est important de réaliser que chaque ransomware observé est spécialisé dans ses modes d’attaque. Les canaux d’entrée et de sortie sont très différents. Certains profitent d’erreurs logicielles non corrigées, d’autres préfèrent les vulnérabilités liées aux navigateurs Web ou à certains protocoles de communication. Cette gamme d’opportunités est très bien représentée dans le marché des ransomwares en tant que service (RaaS) qui s’est développé à un rythme rapide ces dernières années. Les développeurs de ce logiciel ont en fait eu la brillante idée de vendre leur logiciel en échange d’une partie du correctif qui a été soulevé. Par conséquent, l’expertise en développement n’est plus nécessaire pour la création d’une campagne de ransomware ciblée! Il s’agit d’un changement très important car il élargit la portée des attaquants potentiels.
gestion de crise
L’impact d’une attaque de ransomware réussie est énorme pour une entreprise. Cela n’endommage pas seulement le système d’information d’une entreprise. Tout son écosystème est affecté. La confiance que nous lui accordons s’évapore, ses parts de marché chutent, ses partenaires, parties prenantes et fournisseurs en souffrent également, l’impact économique qui en résulte étant parfois fatal à la victime qui pourrait tomber sous le coup du RGPD dont les données personnelles sont filtrées. C’est pourquoi il est important de bien gérer une telle crise si elle survient pour permettre à l’entreprise de se remettre sur pied, de contrôler et d’atténuer les dommages causés.
Avant la crise, l’entreprise doit anticiper au maximum les difficultés. Définir une feuille de route ainsi qu’un Business Continuity Plan (BCP), l’adapter au contexte et au développement des attaquants, ce qui implique de surveiller la menace. Déterminer qui fait partie de la cellule de crise, quelle est la responsabilité de chaque membre ou même définir où cette cellule doit être créée? Autant de questions auxquelles il est possible et souhaitable de répondre avant la crise.
De plus, l’utilisation de certaines meilleures pratiques peut limiter l’exposition ou l’impact de l’attaque si nécessaire. Parmi ces bonnes pratiques, citons l’utilisation et les tests réguliers des sauvegardes pour éviter de perdre toutes les données chiffrées. Cela a sauvé Maersk lors de l’attaque de NotPetya, une combinaison de circonstances qui leur a permis de garder une sauvegarde intacte. Cette sauvegarde a complètement empêché la perte de tout le contenu de leur système d’information. D’un autre côté, une analyse régulière des risques vous donne une bonne idée des produits importants que l’entreprise souhaite protéger à tout prix. Il s’agit du point de départ d’actions qui rendront l’accès des tiers à ces ressources beaucoup plus difficile. La surveillance des canaux d’information tels que le courrier électronique et Internet, en particulier via le filtrage DNS et l’utilisation de solutions comme SIEM, vous permet de contrôler les flux qui transitent par l’entreprise. Désactivez les services obsolètes ou inutiles, mettez à jour les systèmes régulièrement, effectuez des tests de pénétration, toutes ces pratiques contribuent à assurer la résilience des entreprises résilientes en cas d’attaque réelle. Le plus élémentaire de tous, cependant, continue de placer les utilisateurs au cœur du processus de sécurité car ils sont le premier matériel de défense de l’entreprise. Les bons réflexes des employés font souvent la différence entre une crise maîtrisée qui cause des dommages tangibles et une catastrophe qui menace la vie d’une entreprise.
Cependant, si cette attaque se produit, la priorité est de déclencher l’alarme et de contenir l’attaque pour empêcher sa propagation en isolant la partie infectée du reste du système d’information. Un bon réflexe à avoir est de documenter l’ensemble du processus pour faciliter les étapes suivantes. Prenez des photos d’écrans, de messages reçus, d’adresses spécifiées, tout ce qui peut constituer un chemin vers l’attaquant doit être enregistré et notifié. Notez qu’il n’est pas recommandé de désactiver les ordinateurs infectés pour les mêmes raisons pour une enquête plus approfondie. Préférez simplement les déconnecter du réseau et assurez-vous qu’ils ne communiquent pas avec le reste du système d’information.
À ce stade, et si l’entreprise n’a pas les compétences, il est impératif qu’elle obtienne l’aide et l’assistance d’entreprises spécialisées dans l’atténuation de l’attaque. Une fois de plus, l’expérience de Maersk sert d’exemple dans ce domaine. Leur communication de crise a permis à leurs partenaires et autorités compétentes de les aider à se remettre le plus rapidement possible. Les experts contactés par l’entreprise pourront appliquer les corrections nécessaires aux systèmes qui en ont besoin, s’assurer que le reste de l’infrastructure ne risque pas d’être réinfecté et pourra assurer la transition vers l’analyse médico-légale.
Cette dernière partie de la gestion de crise vise à déterminer l’origine de l’attaque, à documenter son mode de fonctionnement et tous les aspects techniques s’y rapportant pour établir un post-mortem de la situation et un retour d’expérience. Cette documentation est d’autant plus précieuse qu’elle peut servir de guide à d’autres entreprises et éventuellement les aider à se remettre de la crise qui pourrait les affecter. De plus, cette analyse ainsi que l’expérience de l’entreprise doivent être utilisées. Il est impératif d’apprendre de ce qui s’est passé et de mettre en œuvre les mesures qui serviront à vous protéger à l’avenir.
En conclusion, il existe de nombreuses façons de le gérer, bien qu’il soit impossible d’être insensible aux risques associés aux ransomwares. La préparation joue un rôle important comme nous l’avons vu. Il est donc conseillé de se donner les moyens techniques, organisationnels et humains pour rester au courant et pouvoir réagir rapidement et efficacement si nécessaire. Une bonne préparation vous permet de vous concentrer sur l’essentiel au cœur de la crise. Cependant, communiquer correctement sur le test est important car il vous permet de rechercher une aide extérieure pour obtenir des ressources et des compétences que l’entreprise peut ne pas avoir en interne. Enfin, une victime de ransomware devrait être en mesure de tirer des leçons de ce qui lui est arrivé pour prévenir plus efficacement ce risque à l’avenir.LIEN