Analyse

Gestion de crise à l’heure des ransomwares

Le 22 juin 2020 par Portail de l'IE

Les ransomware sont des logiciels malveillants qui chiffrent les données des machines qu’ils infectent. Les personnes ou entités à l’origine de l’attaque demandent ensuite le paiement d’une rançon en échange de la clé de déchiffrement des systèmes affectés. La conférence organisée par le club Cyber de l’EGE le mardi 20 mai 2020 avait pour objectif de jeter les bases de la gestion de la crise pour une entreprise victime d’un tel procédé. Béatrice Ghorra, ingénieure avant-vente spécialisée sur les produits de sécurisation des environnements datacenter et cloud chez CISCO et enseignante à l’Ecole de Guerre Economique, a été l’animatrice de cette conférence.

Les ransomwares

Au mois de juin 2017, le ransomware Wannacry fait la une de tous les médias. Il s’agit alors de l’attaque informatique la plus massive de l’histoire du domaine. La publicité autour de l’incident est un tournant pour l’univers de la cybersécurité et les enjeux qui en découlent car ils se retrouvent mis en lumière. Les discours des professionnels de la discipline est alors légitimé là où ils éprouvaient des difficultés pour se faire entendre auparavant. Les rançongiciels, pour les désigner par le terme francophone, représentent toujours une menace de tout premier plan. D’après le CERT France, il s’agit même du risque le plus sérieux pesant sur les entreprises. La crise actuelle liée au COVID-19 et le succès des campagnes malveillantes liées à l’essor du télétravail en attestent : particuliers, professionnels, PME comme multinationales, personne n’est à l’abri.

Il est nécessaire de bien comprendre le fonctionnement de ces attaques et la mentalité des attaquants pour mieux gérer le risque et la crise le cas échéant. Depuis l’apparition de ce mode opératoire dans les années 1980, les attaquants ont affiné leurs techniques et méthodes d’entrée dans les systèmes d’information. On constate que les attaquants cherchent toujours les portes d’entrée dérobées. Ils ne veulent pas attaquer le système de front mais bien contourner les couches de sécurité autant que faire se peut. Parmi les vecteurs permettant l’infection, on retrouve notamment :

  • Les campagnes de mails piégés (phishing), désormais précédées d’opérations d’ingénierie sociale permettant de personnaliser les mails et d’optimiser le taux de pénétration.
  • Le maladvertising ou « drive-by download » qui permet de lancer des téléchargements instantanés à travers des fenêtres pop-up qui redirigent vers d’autres pages.
  • Les machines oubliées ou obsolètes d’un système d’information. Il existe de nombreuses plateformes sur lesquelles on peut acheter des identifiants de connexion à des équipements d’une multitude d’entreprises à prix d’or.
  • Les célèbres mais non moins efficaces périphériques USB égarés.

En exemple, voici le mode opératoire de Loki, un ransomware apparu pour la première fois en 2013 :

Un fichier PDF est piégé et envoyé en pièce-jointe d’un email soigneusement rédigé pour que le destinataire ne s’en méfie pas et qu’il ouvre le fichier. Cette action exécute un morceau de code présent dans la pièce-jointe qui ouvre un canal de communication vers un serveur de Commande et de Contrôle (C2) sous le contrôle de l’attaquant. Ce serveur télécharge immédiatement le rançongiciel ainsi qu’une clé de chiffrement. Le logiciel scanne ensuite méthodiquement le disque dur de l’utilisateur et chiffre tous ses fichiers. L’ordinateur est alors chiffré. Un message et un compte à rebours apparaissent à l’écran indiquant les instructions de paiement, souvent liées à la cryptomonnaie, qui rendent le traçage difficile, permettant de récupérer les données de la machine chiffrée.

Certains ransomware cherchent également à se propager latéralement, c’est-à-dire à tous les postes voisins afin de paralyser totalement un maximum d’équipements. Ainsi, il a fallu environ sept minutes à NotPetya pour chiffrer l’intégralité du système d’information de Maersk, numéro un mondial du transport maritime par container.

Cependant, les entreprises sont de moins en moins enclines à payer les rançons qui s’élèvent a des montants faramineux, on parle de dizaines de millions de dollars pour les plus importantes. Sophos estime en effet qu’il est toujours plus rentable pour l’entreprise de ne pas payer étant donné que les dommages sont déjà présents et qu’il n’y a aucune garantie que les attaquants tiennent parole et délivrent la clé de déchiffrement. Ces derniers se sont donc adaptés et procèdent désormais à l’exfiltration des données de l’entreprise afin d’obtenir un levier de pression supplémentaire en menaçant leurs victimes de diffuser publiquement les informations ainsi glanées.

Ainsi, les attaquants derrière la campagne du ransomware Maze qui a émergé en novembre 2019 tiennent un site web où ils publient les informations des entreprises qui refusent de payer la rançon. Maze a de plus la particularité d’être au cœur d’une attaque dite de cycle long. Après l’infection d’une machine, une semaine est consacrée à la reconnaissance et au rassemblement d’informations utiles sur l’architecture réseau de l’entreprise, les employés et leurs habilitations, les comptes d’utilisateurs entre autres choses. La semaine suivante est dédiée au mouvement latéral et à l’exfiltration de données permettant de s’installer dans un maximum de machines et de maximiser les chances de paiement. Enfin, durant la troisième semaine de campagne, les attaquants tentent de compromettre l’Active Directory (serveur central et critique permettant à celui qui en gagne le contrôle de faire ce qu’il veut à l’intérieur du système d’information) et déploient Maze dans toutes les machines infectées.

Il est important de se rendre compte que chaque ransomware observé est spécialisé dans ses modes d'attaque. Les canaux d’entrée et de diffusion sont très variés. Certains exploitent des failles logicielles non corrigées, d’autres préfèrent des vulnérabilités liées aux navigateurs web ou à certains protocoles de communication. Cet éventail de possibilités est très bien représenté dans le marché du ransomware as a service (RaaS) qui s’est développé de manière fulgurante ces dernières années. Les développeurs de ces logiciels ont effectivement eu la brillante idée de vendre leurs logiciels en échange d’une partie de la rançon récoltée. La compétence de développement n’est donc plus nécessaire à l’élaboration d’une campagne de ransomware ciblée ! C’est un changement très important car cela élargit le champ des possibles attaquants.

 

La gestion de crise

L’impact d’une attaque par ransomware couronnée de succès est colossal pour une entreprise. Cela ne nuit pas seulement au système d’information d’une entreprise. C’est tout son écosystème qui en est affecté. La confiance qu’on lui accorde s’évapore, ses parts de marché diminuent, ses partenaires, parties-prenantes et fournisseurs en pâtissent également, l’impact financier qui en découle est parfois fatal pour l’entreprise victime qui peut éventuellement tomber sous le coup du RGPD si des données personnelles sont exfiltrées. C’est pourquoi il est primordial de bien gérer une telle crise si elle venait à survenir afin de permettre à l’entreprise de se remettre sur pied, de contrôler et de limiter les dégâts occasionnés.

Avant que la crise ne survienne, l’entreprise doit anticiper les difficultés autant que possible. Définir une feuille de route ainsi qu’un plan de continuité d’activité (PCA), l’adapter au contexte et aux évolutions des attaquants, ce qui passe par un travail de veille sur la menace. Déterminer qui fait partie de la cellule de crise, quelles responsabilités incomberont à chaque membre ou encore définir où est-ce que cette cellule se mettra en place ? Autant de questions auxquelles il est possible et souhaitable de répondre en amont de la crise.

De plus, appliquer certaines bonnes pratiques permet de limiter l’exposition ou l’impact de l’attaque le cas échéant. Parmi ces bonnes pratiques, l’usage et le test régulier de sauvegardes permet d’éviter de perdre toutes les données chiffrées. C’est ce qui a sauvé Maersk lors de l’attaque NotPetya, un concours de circonstances leur a permis de conserver une sauvegarde intacte. Cette sauvegarde a empêché la perte définitive de tout le contenu de leur système d’information. D’autre part, effectuer régulièrement des analyses de risques permet d’avoir une bonne idée des biens essentiels que l’entreprise souhaite protéger à tout prix. C’est le point de départ des actions qui rendront l’accès à ces ressources par des tiers bien plus difficile. Surveiller les canaux d’information tels que les mails, internet, notamment par le filtrage DNS et le recours à des solutions comme les SIEM permet de gagner la maîtrise des flux qui transitent par l’entreprise. Désactiver les services obsolètes ou inutiles, mettre les systèmes à jour régulièrement, réaliser des tests d’intrusion, toutes ces pratiques permettent d’assurer à l’entreprise une résilience salvatrice en cas d’attaque réelle. La plus fondamentale de toute reste cependant de mettre les utilisateurs au cœur du processus de sécurisation car ils sont le premier rempart de défense de l’entreprise. Les bons réflexes des employés sont souvent ce qui fait la différence entre une crise maîtrisée causant des dégâts rattrapables et un désastre qui menace la vie de l’entreprise.

Si toutefois cette attaque vient à se produire, alors la priorité est de donner l'alerte et de contenir l'attaque pour éviter sa propagation en isoler la partie infectée du reste du système d’information. Un bon réflexe à avoir est de documenter l’ensemble du processus afin de faciliter les étapes suivantes. Prendre des photos des écrans, des messages reçus, des adresses indiquées, tout ce qui peut constituer une piste vers l’attaquant doit être sauvegardé et notifiée. A noter qu’il est déconseillé d’éteindre les machines infectées pour les mêmes raisons d’enquête ultérieure. Préférez simplement les déconnecter du réseau et faire en sorte qu’elles ne communiquent pas avec le reste du système d’information.

A ce stade et si l'entreprise n'en a pas les compétences, il est impératif qu'elle se fasse assister et aider par des entreprises spécialisées en remédiation de l'attaque. Une fois de plus, l’expérience connue par Maersk fait office d’exemple en la matière. Leur communication de crise a permis à leurs partenaires et aux autorités compétentes de les aider à se relever aussi rapidement que possible. Les experts contactés par l’entreprise seront en position pour appliquer les correctifs nécessaires sur les systèmes qui en ont besoin, s’assurer que le reste de l’infrastructure ne fait pas l’objet d’un risque de réinfection, et seront à même d’assurer le passage à l’analyse forensic.

Cette dernière partie de la gestion de crise a pour but de déterminer l’origine de l’attaque, de documenter son mode opératoire et tous les aspects techniques qui la concernent afin d'établir un post-mortem de la situation et un retour d'expérience. Cette documentation a d’autant plus de valeur qu’elle peut servir de guide pour d’autres entreprises et éventuellement les aider à se remettre de la crise qui peut les impacter. De surcroît, cette analyse ainsi que l’expérience vécue par l’entreprise doivent être mises à profit. Il est impératif de tirer les enseignements de ce qui s’est produit et mettre en place les mesures qui serviront à se protéger à l’avenir.

 

En conclusion, même s’il est impossible d’être imperméable aux risques liés aux ransomwares, il existe de nombreuses manières d’y faire face. La préparation joue un rôle essentiel comme nous l’avons vu. Il convient donc de se donner les moyens techniques, organisationnels et humains pour rester alerte et pouvoir réagir avec rapidité et efficacité en cas de besoin. Une bonne préparation permet de se concentrer sur l’essentiel au cœur de la crise. Il est toutefois capital de communiquer correctement sur l’épreuve traversée car cela permet de rechercher de l’aide à l’extérieur afin d’obtenir des ressources et des compétences que l’entreprise ne possède pas forcément en interne. Enfin, l’entreprise victime d’un ransomware doit pouvoir tirer des leçons de ce qui lui est arrivé afin de prévenir ce risque plus efficacement à l’avenir.

 

Club Cyber AEGE pour le Portail de l'IE

Événements


Plus d'événements

Partenaires