Ransomware Clop : une communication officielle trop tardive ?
L’Anssi a publié vendredi en fin de journée un rapport sur le rançongiciel CryptoMix Clop, qui a affecté le CHU de Rouen, notamment. Selon certaines sources, l’agence a laissé entre-temps le monde hospitalier dans l’ignorance.
Vendredi 15 novembre au soir, la crise commence pour le système d’information du CHU de Rouen : un rançongiciel entame son travail de prise en otage. Mais lequel et surtout, comment est-il distribué ? Comment procèdent les attaquants ? Les réponses à ces questions peuvent être précieuses pour renforcer ses protections.
Les premiers éléments arrivent le mercredi 20 novembre. La MalwareHunterTeam rebondit sur un article de nos confrères de 76actu et reconnaît CryptoMix Clop. Dans le courant de l’été, le chercheur Vitali Kremez avait établi un lien entre ce ransomware et le groupe TA505. De là, il est possible de commencer à tirer les fils, d’évoquer le mode opératoire, de collecter des marqueurs techniques. Pour les plus inquiets, c’est peut-être le début d’une chasse pour essayer de débusquer la menace dans son système d’information. Et ce n’est pas nécessairement superflu.
De son côté, l’Agence nationale pour la sécurité des systèmes d’information (Anssi), mobilisée dès le départ au CHU de Rouen, a publié vendredi, en fin de journée, un rapport sur CryptoMix Clop, suivant la logique de partage de renseignement dans laquelle elle s’inscrit désormais.
De très nombreux éléments publics
Ce rapport s’appuie largement sur les éléments déjà publics dont il produit une synthèse. On y trouve des liens vers des analyses d’échantillons remontant à l’été, mais n’y figurent ni noms de domaine ni adresses IP susceptibles de constituer des marqueurs techniques. Certains sont pourtant partagés publiquement sur Twitter ou sur des plateformes telles que l’OTX d’Alien Vault et Threat Connect, pour ne citer qu’eux.
Ainsi, Kyle Ehmke de Threat Connect, a repéré et évoqué publiquement sharefile-cnd[.]com, ms-home-live[.]com, box-en-au[.]com, box-en[.]com, microsoft-hub-us[.]com, microsoft-live-us[.]com, microsoft-store-en[.]com, onedrive-live-en[.]com, onehub-en[.]com, ou encore own-eu-cloud[.]com, dropbox-download-eu[.]com, et windows-office365[.]com. Et cela uniquement entre la fin octobre et la fin novembre.
Autour de la mi-octobre, le chercheur évoquait comme « probablement » liés à TA505 windows-wsus-update[.]com, windows-afx-update[.]com ou encore dropbox-eu[.]com, entre autres. A la même période, il relevait également la création de certificats SSL Let’s Encrypt pour des domaines « similaires à ceux utilisés précédemment pour TA505 afin d'héberger des fichiers XLS malicieux », et partageait le condensat d’un échantillon présent sur VirusTotal.
A vrai dire, la liste de domaines attribués par Kyle Ehmke à TA505 est longue, très longue. Mais l’Anssi réserve ces précisions à ceux qu’elle identifie comme ayant besoin d’en savoir plus : les destinataires de la version plus fournie de son rapport, marquée TLP Ambre.
Une communication qui interroge
Las, selon nos informations, ces entités n’ont été guère mieux traitées que le tout venant en matière de délais : le rapport les concernant ne leur est parvenu lui-aussi que vendredi en fin d’après-midi, soit une semaine après le déclenchement de la crise au CHU de Rouen. La veille, le 21 novembre, un RSSI du monde hospitalier nous l’assurait : « on reçoit des emails "on va vous dire quoi faire", mais aucune information sur la méthode de compromission/infection ». « Rien de plus faux », répliquait le vendredi 22 novembre, Guillaume Chéreau, au moment donc de la diffusion des rapports de l’agence. Responsable de l’unité de gestion de crise de l’Anssi, il n’a pas répondu à nos demandes d’éléments susceptibles d’étayer son propos.
Mais ce choix de réserver à des destinataires précis des indicateurs de compromission dont au moins certains sont publiquement connus, ou encore le délai de communication ne manquent pas d’interpeler. Car le public concerné est potentiellement large.
Dans son rapport public, l’Anssi le reconnaît elle-même et parle de « plusieurs » attaques survenues « ces dernières semaines » et qui « semblent être le résultat d’une vaste campagne d’hameçonnage ». Et celle-ci aurait eu lieu autour de la mi-octobre.
Un public concerné potentiellement large
De quoi laisser donc aux assaillants tout ce temps qu’ils utilisent pour explorer le système d’information de leur victime en puissance et préparer le déclenchement du ransomware : « cette phase en amont du chiffrement dure plusieurs jours et signifie qu’il est possible de détecter certains signes de l’attaque avant le déclenchement du rançongiciel sur une grande partie du SI », reconnaît elle-même l’Anssi.
Cette phase amont s’avère donc cruciale pour les défenseurs. Et justement, début 2016, alors que Locky – également associé au groupe TA505 – commençait à se propager sur le Vieux Continent, le Cert-FR avait très vite tiré la sonnette d’alarme : quelques jours à peine après le premier signal envoyé par les équipes de renseignement de Palo Alto Networks. Cette fois-ci, pour Clop, rien avant la fin novembre, soit plus d’un mois après la campagne de phishing présumée.
Quant aux indicateurs, l’Anssi s’était montrée considérablement plus bavarde au sujet de LockerGoga, plus tôt cet année – et dont elle souligne au passage une familiarité avec Clop. Moins prolixe au sujet de BitPaymer plus récemment, l’agence avait toutefois été plus dans le détail.
Guillaume Poupard inscrit la publication de ces rapports et le partage de renseignement dans la durée. Mais pour qu’ils ne soient pas utiles qu’à l’image de l’Anssi, encore faut-il qu’ils soient suffisamment riches en renseignements et distribués rapidement, où à tout le moins les informations clés pour la détection et le blocage.
Mais l’exercice est peut-être encore en rodage. Sollicitée par nos soins, l’agence n’a hélas pas répondu à notre demande de commentaires à l’heure où sont publiées ces lignes.