Ransomware : un mois de septembre 2020 sans précédent
La rentrée a été marquée par un nombre jamais égalé de cyberattaques connues impliquant un rançongiciel. Le fruit de la conjonction de multiples facteurs. Et ceux-ci ne laissent pas entrevoir de véritable apaisement.
Sur le mois de septembre, nous avons recensé près de 270 attaques de ransomware à travers le monde, une explosion par rapport aux mois précédents, alors que juin et août avaient déjà été marqués par une activité intense des cyberdélinquants. Mais attention aux trompe-l’œil.
En France, nous en avons compté 10 avérées, auxquels s’ajoute un cas soupçonné, mais non confirmé à ce stade, contre 8 en août et à peu près autant en juillet. Les attaques confirmées figurent dans la frise chronologique que nous actualisons régulièrement. Chez Intrinsec, Cyrille Barthelemy fait état de 13 cas « en mode crise » en septembre, contre 10 en août.
Et de préciser que ses capacités d’interventions n’étaient évidemment pas les mêmes en plein été qu’à la rentrée. Chez I-Tracing, Laurent Besset relève quant à lui 9 interventions lors du mois écoulé, contre 4 lors du précédent. Chez Advens, Benjamin Leroux avance quant à lui 3 interventions majeures et moins de 5 interventions mineures. Mais tout de même 150 détections de menaces susceptibles de conduire à une détonation de ransomware, dont surtout de l’Emotet.
Début septembre, l’Agence nationale pour la sécurité des systèmes d’information (Anssi) indiquait avoir traité, depuis le début de l’année, 104 attaques de ransomwares, contre 54 sur 2019 dans son ensemble. Et bien sûr, cela ne tient pas compte des cas hors de son périmètre d’intervention.
Du côté de la plateforme Cybermalveillance.gouv.fr, le directeur général du GIP Acyma, Jérôme Notin, faisait état, toujours début septembre, de 1 082 signalements de ransomware à date, depuis le lancement de la plateforme le 4 février, avec 44 % d’entreprises ou d’associations et 10 % d’administrations ou collectivités. Sur septembre, Jérôme Notin, relève 131 demandes d’assistance, contre 104 en août, et 122 en juillet.
Dans l’Hexagone, il apparaît difficile, à ce stade, de parler d’explosion. Mais si la tendance à la progression apparaît moins prononcée que pour le reste du monde, la menace apparaît sans aucun doute se maintenir à un niveau élevé.
La situation peut trouver au moins deux explications, lesquelles laissent à penser que la menace n’est pas appelée à s’atténuer dans un proche avenir. Nous les développons ci-dessous, après la frise chronologique.
Un terreau très propice
Le premier élément d’explication est la multiplication des découvertes de vulnérabilités ouvrant les portes des systèmes d’information des organisations publiques comme privées. On pense notamment là aux systèmes d’accès à distance, ou aux serveurs VPN, avec la vulnérabilité CVE-2019-19871 pour les systèmes Citrix Netscaler Gateway, la CVE-2020-3452 pour les Cisco ASA, la CVE-2019-11510 pour les VPN Pulse Secure, la CVE-2020-5902 pour les systèmes F5, ou encore la CVE-2020-2021 pour les systèmes Palo Alto Networks et la CVE-2018-13379 pour les serveurs VPN Fortinet.
Et ce n’est pas tout. Il convient d’ajouter à cela certaines vulnérabilités affectant des applicatifs et prisées par les assaillants, comme la CVE-2020-6287 pour SAP Netweaver, ou la CVE-2019-11580 pour les serveurs Atlassian Crowd… ou encore ces nombreux services RDP accessibles en ligne sans authentification sur la couche réseau (NLA).
En fait, toute vulnérabilité permettant d’obtenir un accès initial dans un système d’information est susceptible d’être exploitée avant que ne soit revendu cet accès à des cyberdélinquants. Les opérateurs de ransomware sont particulièrement friands de ces accès, proposés parfois à la vente pour ce qui peut ressembler à une bouchée de pain par rapport au montant des rançons demandées ensuite.
À cela s’ajoutent enfin des vulnérabilités comme Zerologon qui peuvent accélérer la prise de contrôle du domaine Active Directory de la victime, une fois les attaquants dans la place, si les correctifs n’ont pas été appliqués.
Des cybermafieux particulièrement actifs
À cet environnement fertile s’ajoute une agressivité accrue des assaillants. Emotet a récemment fait un retour en fanfare, touchant des entreprises, des magistrats, ou encore collectivités locales, comme à Besançon. L’homologue allemand de l’Anssi, le BSI, a recommencé à alerter d’ailleurs localement sur la menace depuis le début du mois septembre, après une première campagne d’information lancée début août.
De son côté, Proofpoint l’évoquait fin août, mentionnant des messages en français… mais sans indiquer la France parmi les cibles. L’Anssi a récemment sonné le tocsin. Et c’est essentiel, car comme le rappelait récemment Nicolas Caproni, patron du renseignement sur les menaces de Sekoia : « détecter Emotet, TrickBot ou Qakbot est sûrement le signe avant-coureur d’une attaque de plus grande ampleur ».
À cela s’ajoute l’apparition de nouveaux ransomwares pratiquant la double extorsion : le paiement d’une rançon n’est pas exigé uniquement pour déchiffrer les données, mais aussi pour éviter leur divulgation. Le nouveau Conti est particulièrement agressif, mais il faut aussi compter avec MountLocker, SunCrypt, LockBit, ou Egregor (ex-Sekhmet). Les plus connus, comme Maze et Revil/Sodinokibi, n’ont pas pour autant raccroché les gants. Et puis il y a aussi les plus « discrets » comme RansomExx, Ekans, ou encore Ryuk.
Justement, ce phénomène impose une certaine prudence : la progression considérable du nombre de ransomwares jouant la double extorsion est susceptible de produire un effet de loupe. De fait, le nombre d’attaques connues n’est pas plus élevé uniquement parce que les attaques sont plus nombreuses, mais aussi parce qu’un plus grand nombre d’entre elles sont rendues publiques. Une analyse partagée par Jérôme Notin.
Une mafia qui se nourrit de ses victimes
En outre, la multiplication des victimes appelle elle-même à une nouvelle multiplication des victimes. Comme le souligne Fabien Lorc’h, d’Airbus CyberSecurity, « quand un majeur comme [CMA-CMG] est touché, l’ensemble du secteur et [de ses] contacts deviennent encore plus à risque
Pivoter d’une cible à l’autre. Au final, pour oser une métaphore, une campagne de ransomware, c’est comme une pandémie : un seul patient touché, et ce sont des tas de cas contact ».
De fait, les données dérobées par les cyberdélinquants avant le déclenchement de leur rançongiciel peuvent être de véritables mines d’or pour de futures campagnes de hameçonnage hautement ciblé… et facilité par l’utilisation d’informations bien réelles glanées à l’occasion de la précédente attaque. Une seule liste de milliers d’adresses e-mail assorties de quelques éléments personnels supplémentaires peut déjà constituer un point de départ redoutable. Mi-juillet, Brett Callow, chez Emsisoft, attirait notre attention sur un tel cas suspect. Et c’est sans compter avec la mise à profit d’interconnexions techniques. Ou l’illusion de sécurité venant d’un assainissement insuffisant du système d’information compromis.
Et puis chaque rançon versée permet aux cybertruands de recruter de nouveaux complices. Récemment, le groupe Revil, opérateur du ransomware Sodinokibi, a ainsi pu s’offrir le luxe de déposer une caution de près de 1 M$, en bitcoins, dans un forum assidûment fréquenté par les cyberdélinquants comme garantie pour de futures recrues. Tout en détaillant les modalités de partage des butins…
Car si les mafieux du rançongiciel commencent par acheter des accès aux systèmes d’information de cibles potentielles, ils embauchent ensuite des pirates capables d’en tirer profit pour aller compromettre le contrôleur du domaine Active Directory, et déployer leur charge utile. Avant de partager les revenus.
Comment se protéger
De fait, la cybercriminalité financière emprunte largement aux APT soulignait début février dans nos colonnes, Ivan Kwiatkowski des équipes de recherche et d’analyse de Kaspersky. Concrètement, cela veut dire que l’attaque s’étend largement en profondeur dans le système d’information, jusqu’à l’obtention de privilèges dignes d’un administrateur et donnant un accès très vaste aux données de l’entreprise compromise.
C’est pourquoi, lorsque le ransomware détone, c’est vraiment trop tard. Et l’infrastructure Active Directory doit être solidement protégée et pensée de manière robuste, en tiers distincts selon la criticité des rôles, sans jamais appréhender la réplication comme une sauvegarde.
La sécurité des potentiels points d’entrée exposés sur Internet apparaît sans doute cruciale, avec l’application des correctifs disponibles pour les vulnérabilités connues. Et c’est sans compter la protection contre les menaces diffusées par la messagerie électronique, à commencer par Emotet, comme nous le détaillions récemment.
Au-delà, il convient de limiter autant que possible les capacités de déplacement latéral de l’assaillant, comme le décrit Benjamin Delpy, créateur de Mimikatz, dans nos colonnes, ainsi que de sécuriser les outils d’administration pour empêcher leur détournement par des cyberdélinquants.