kaptn - Fotolia
Ransomware : le Texas pointe un maillon faible, l’administration à distance
Authentification forte, accès aux systèmes d'administration par VPN, etc. Le service des ressources informatiques de l’état tire les enseignements de l'incident survenu durant l'été. Et formule ses recommandations.
Mi-août, une vingtaine « d’entités de gouvernement locales » étaient frappées par une « attaque via ransomware coordonnée », selon le service des ressources informatiques de l’état du Texas. Selon nos confrères de NPR, les cyber-délinquants demandaient rien moins que 2,5 M$ à chacune de leurs victimes, s’appuyant sur les informations du maire de l’une des municipalités concernées.
Aujourd’hui, le service des ressources informatiques de l’état du Texas fait un point sur l’incident, assurant « ne pas avoir connaissance de rançon ayant été payée ». Au mois de septembre, « plus de la moitié des entités affectées avaient retrouvé des activités normales ». La directrice générale de ce service, Amanda Crawford, se félicite de l’efficacité des opérations de réponse à incident. Mais sa RSSI, Nancy Rainosek, souligne surtout les enseignements, renseignant au passage sur le chemin parcouru par les assaillants.
Car les recommandations de Nancy Rainosek concernent avant tout les organisations dont « les serveurs ou systèmes informatiques sont administrés à distance », que ce soit par des équipes internes ou par des prestataires de services.
La liste des recommandations ne surprendra probablement pas beaucoup : « n’autoriser l’authentification sur les outils d’accès à distance que de l’intérieur du réseau du prestataire ; utiliser l’authentification à double facteur sur les outils d’administration à distance et des tunnels VPN plutôt que RDP ; bloquer tout le trafic entrant provenant de nœuds de sortie Tor ; bloquer tout le trafic sortant vers Pastebin ; des outils d’EDR pour détecter les scripts PowerShell exécutant des processus inhabituels ».
La menace sur les prestataires de services apparaît aujourd’hui particulièrement importante. L’Agence nationale pour la sécurité des systèmes d’information (Anssi) a d’ailleurs eu plusieurs fois cette année l’occasion d’insister sur la menace que constituent les attaques par rebond. En ce moment, le Secret Service américain enquêterait sur une brèche ayant affecté un prestataire IT du gouvernement des Etats-Unis, avec parmi ses clients des administrations critiques telles que l’armée de l’air, le ministère de la Défense, celui de la Justice, ou encore celui de l’Intérieur, entre autres.
Le conseil relatif à RDP peut paraître relever du bon sens, mais de nombreux services de déport d’affichage sont exposés sur Internet. Des rançongiciels tels que Phobos, Crysis, ou encore Dharma visent directement les services RDP mal sécurisés. Il faut en outre compter avec plusieurs vulnérabilités pour lesquelles l’alerte a été lancée au cours des derniers mois. Un module dédié à l’une d’entre elles, Bluekeep, est d’ailleurs désormais disponible pour Metasploit.
Enfin, si les solutions d’EDR ne sont pas encore très largement adoptées dans les entreprises, du moins selon un sondage de l’institut Ponemon de l’an dernier, elles tendent à se démocratiser, ne serait-ce que sous l’effet de l’ajout de fonctionnalités de type EDR à certaines solutions de protection des postes de travail. Surtout, l’intérêt de ces fonctionnalités semble bien identifié, avec priorité à la détection de signes précoces d’attaque.