kaptn - Fotolia
Friedex/Bitpaymer : l’Anssi lance l’alerte
L’agence vient de publier un rapport complet sur le rançongiciel qui apparaît désormais comme celui qui a récemment frappé M6. Elle y décrit notamment l’ampleur de la compromission préalable au déclenchement du chiffrement.
Le rançongiciel BitPaymer, aussi connu sous les noms FriedEx et IEncrypt, apparaît constituer une importante menace en France, en ce moment. C’est du moins l’impression que donne la publication, par l’Agence nationale pour la sécurité des systèmes d’information (Anssi), d’un rapport complet à son sujet. Et il pourrait bien y avoir de quoi. Dans son document, l’Anssi évoque des « victimes françaises », sans indiquer le nombre, et BitPaymer semble avoir été impliqué dans la récente attaque par ransomware ayant affecté le groupe M6.
Une nouvelle source vient d’ailleurs tout juste de nous faire part de l’existence d’une certaine personnalisation dédiée au groupe audiovisuel. Et c’est l’une des spécificités de BitPaymer et de sa variante IEncrypt. L’Anssi souligne ainsi que « le message de rançon contient le nom de la victime et mentionne en guise de contact des adresses de messagerie utilisant les services Tutanota et Protonmail ». Fabian Wosar, directeur technique d’Emsisoft, va plus loin dans les précisions et souligne pour sa part que « les développeurs ont tendance à prendre une version du nom de l’entreprise visée en leet speak comme extension de fichier ».
Avec son rapport, l’agence joue la carte de l’information préventive. Elle reprend ainsi une règle Yara publiée en juillet dernier par Morphisec et qui s’avère toujours efficace pour « détecter la couche d’obscurcissement contenant le code de chiffrement ». Mais l’Anssi va plus loin, détaillant le comportement des assaillants et indiquant différents points de détection.
Cela commence par le vecteur d’infection initiale : hameçonnage ciblé (avec pièce jointe ou lien vers contenu malicieux), mais également « parfois », « au travers de sites Internet légitimes compromis proposant le téléchargement de mises à jour Flash et Chrome piégées », ou encore la compromission d’accès RDP « peu ou mal protégés ».
Une fois qu’ils ont pris pied dans l’infrastructure cible, les assaillants cherchent « prendre le contrôle de comptes administrateurs réseau légitimes » afin d’accéder à l’annuaire, pour mieux « cartographier le réseau de la victime et identifier les ressources importantes ». La préparation dure environ une semaine et l’éventail de l’outillage utilisé renvoie directement au mode opératoire que décrit Crowdstrike pour le groupe Indrik Spider. Mais l’Anssi souligne que la variété des méthodes d’infection « pourrait signifier que BitPaymer est vendu au marché noir en tant que “ransomware-as-a-service” utilisé par différents groupes d’attaquants, dits affiliés ».
Après quelques jours de reconnaissance, les assaillants déploient, « le week-end et au milieu de la nuit, la charge de chiffrement », explique l’Agence, « notamment sur les systèmes de sauvegarde de fichiers restés connectés ». L’Anssi recommande donc l’utilisation de sauvegardes déconnectées, au moins pour les données les plus critiques, mais également de cloisonner les niveaux d’administration pour réduire le risque de compromission d’Active Directory.
L’agence souligne au passage que le détournement de comptes administratif peut être trahi par des anomalies comportementales ; leur surveillance peut donc aider à débusquer les assaillants dans leur phase de préparation. Elle recommande également de « porter ses efforts de détection » sur Powershell Empire et Dridex. Et d’évoquer enfin un fichier capable, en l’état, d’empêcher le déclenchement de la charge de chiffrement : sa présence trahit l’environnement d’émulation de Windows Defender.
Las, Bitpaymer est loin d’être le seul rançongiciel à menacer aujourd’hui les entreprises, et l’on pense notamment à Ryuk et Lockergoga, lesquels ont déjà fait l’objet d’une notice d’information de l’Anssi. Et l’on peut aussi ajouter à cela Stop (djvu), même s’il ne s’inscrit pas dans la même tendance de la « chasse au gros poisson ». Sur les dix premiers mois de l’année, Emsisoft estime le nombre de victimes en France à près de 1600. L’éditeur vient d’ailleurs tout juste d’entamer la distribution d’un outil de déchiffrement.