Plus virulentes et professionnalisées que jamais, les cyberattaques par ransomwares qui visent aussi bien les entreprises que les administrations et collectivités locales, constituent une véritable plaie. Après la parution début septembre d'un guide co-signé par l'ANSSI et le ministère de la Justice passant en revue les moyens d'actions et de réaction pour faire face à cette redoutable menaces, c'est au tour de l'Observatoire de la sécurité des systèmes d'information et des réseaux (OSSIR) d'apporter sa pierre à l'édifice dans la lutte contre les ransomwares.
Dans le cadre de l'une des dernières visioconférence de l'association, Christophe Renard, agent au sein de la Division Réponse de la sous direction Opérations de l'ANSSI, est justement intervenu dans le cadre d'un retour d'expérience sur l'anatomie des attaques de rançongiciels. Après avoir brièvement resitué le rôle de l'ANSSI en matière de lutte contre les cybermenaces (prévention, réponse à incident et partage de connaissance), Christophe Renard a rappelé l'explosion des attaques par rançongiciel (104 entre entre le 1er janvier et le 1er septembre 2020) amenant à plusieurs incidents majeurs mêlant destructions de données et arrêt de production, comme cela a très récemment été le cas pour Sopra Steria avec à la clé un impact financier non négligeable.
Des attaques latérales pour mieux pénétrer le SI
En première partie de son retour d'expérience, Christophe Renard dresse un état des lieux des points d'entrée permettant à un pirate de s'introduire dans un système exposé. Généralement via un point d'accès accessible depuis Internet ou un poste utilisateur au travers d'un e-mail contenant un lien ou document piégé. Il en existe une variété allant de l'exploitation de failles majeures (CVE-2019-11510 sur PulseSecure, CVE-2019-19781 sur Citrix et CVE-2019-0604 sur Sharepoint) que de celles faisant l'objet de scans massifs, aux énumérations de mots de passe sur des services exposés sur Internet (RDS de serveurs domaine, VM de domaine...) ou encore fruits de campagnes de botnets (Emotet, Dridex...).
« Une fois entrés les attaquants cherchent à étendre leur emprise », rappelle Christophe Renard. Cette latéralisation peut alors prendre plusieurs chemins allant du balayage réseaux à l'exploration systèmes par RDP, RCP et mount SMB, ou encore l'utilisation de cadriciels offensifs sur étagère (powershell-Empire, Cobalt Strike, Metasploit...). L'escalade de privilèges fait bien sûr partie du plan d'attaque du pirate pour atteindre ses objectifs. Pour cela, il pourra essayer de réutiliser les mots de passe peut être communs entre admin et user, extrapoler les règles de génération ou bien faire de l'énumération en force brute sur les applications voire aller à la pêche dans le SI (fichier excel contenant les mots de passe, raccourcis de connexions avec mot de passe sauvé...). Mais aussi piégés des « points d'eau » comme des apps web internes voire le portail VPN en tant que tel. Pour protéger les accès, des approches peuvent être envisagées : comme la création de comptes privilégiés (AD, administrateurs locaux.?..) ou l'ajout d'implants (RAT, webshell, tunnels inversés...).
Vigilance sur des signaux d'alerte
Prévoyant et pour s'assurer d'un effet maximal de son attaque, le pirate cherche à déployer le plus rapidement son rançongiciel. Cela passe notamment par des étapes de neutralisation des antivirus, d'extinction des processus serveurs au dernier moment ou encore s'assurer que les cibles pertinentes sont bien atteintes. Mieux vaut donc être très vigilant à certains signaux qui peuvent survenir comme les détection virales, les crashs d'anti-virus, des arrêts de services inopinés ou encore des connexions depuis le contrôleur de domaine. Ayant pour objectif de copier et exécuter à grande échelle son programme malveillant, l'utilisation de mécanismes d'administration est effectuée (fichiers Batch de PsExec en série, création de tâches à exécution instrantanée par GPO, utilisatrion de BITS...). Une fois le code déployé, ce dernier va s'atteler à plusieurs cibles : effacer les shadow copies, rechercher des fichiers à chiffrer et les chiffrer, créer des messages d'invitation et de contact voire envoyer des informations de télémétrie permettant d'estimer le succès de l'attaque.
Généralement, les campagnes de ransomware sont effectuées selon un timing permettant de la contrer plus difficilement (week-end, jours fériés...). Il est dès lors temps pour l'entreprise d'entrer dans le dur avec pour corollaire le passage en crise qui va mobiliser les acteurs clés en interne (direction générale, experts sécurirté, DSI...) mais aussi externe (infogérants, intervenants investigation numérique...). Il sera impératif pour cette étape de désigner des personnes en charge et impliquées dans cette gestion de crise et surtout leur rôle et périmètre d'intervention. Les premières actions viseront à endiguer la propagation réseau (coupure accès Internet, filtrage réseau niveau 2 ou 3, coupure des accès tiers...), mais aussi systèmes (extinction des postes, extension des couvertures antivirales et XDR...). Prises en étau entre le piège tendu par les cyberattaquants et la nécessité de redémarrer l'activité dès que possible pour éviter les pertes opérationnelles et financières lourdes, les entreprises doivent aussi enclancher un plan de communication (employés, partenaires, media...) tout en n'oubliant pas des fondamentaux : porter plainte auprès des autorités compétentes (Police, Gendarmerie...) et signaler l'incident (ANSSI, CNIL...).
Tester la restauration en amont
Dans un cotexte tendu et compliqué à gérer, les erreurs sont vite arrivées. Mais certaines doivent bien être évitées comme le rappelle Christophe Renard. « La crise rançongiciel est une crise stratégique il ne faut pas la piloter uniquement sous l'angle informatique ». De même, il est illusoire de penser qu'une résolution peut se faire en quelques jours : « aucune crise rançongiciel que j'ai observée n'a duré moins de 3 semaines [...] il va falloir enquêter, reconstruire, déployer des mesures temporaires, restaurer des sauvegardes. Personne n'a les équipes internes pour tout faire ». Attention à ne pas non plus faire reposer toute cette organisation de crise sur une seule personne : « personne ne tient 3 semaines de crises sans repos, les burnouts en cours d'incident arrivent », prévient Christophe Renard.
Pour un retour à la normale et après une nécessaire étape de remédiation, le processus de restauration constitue une étape clé à ne pas mésestimer. Encore faut-il que les sauvegardes et applications soient bien récupérables en étant au préalables déconnectées et désynchronisées du SI maître. « L'expérience de test de restauration est précieuse : toutes les raisons de ne pas les faire en temps calme sont rendues pires par un environnement dégradé et le stress », explique Christophe Renard. Le temps sera ensuite venu de faire le bilan (image, techniques, financiers, réglementaires et humains) et de tirer les conséquences pour améliorer la réponse aux incidents et mieux déjouer les impacts désastreux des prochains ransomwares. Car s'il y a bien une chose à garder à l'esprit c'est que, plus que jamais, en matière de cybersécurité on n'est jamais à l'abri une bonne fois pour toute.