Voyagerix - Fotolia
Nettoyage après ransomware : nouvelles alertes au vite fait mal fait
L’assainissement en profondeur du système d’information, après attaque de ransomware, est long et coûteux. Mais les bénéfices en sont d’autant plus grands que les attaquants n’hésitent pas à sonner parfois deux fois.
Lors d’un passage chez nos confrères de BFM TV, Guillaume Poupard, directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), soulignait l’importance de ces efforts par ce qu’en retirent ceux qui ont été, hélas, attaqués avec succès : « les acteurs qui ont été attaqués, qui ont réagi et qui durcissent la protection de leurs systèmes sont durablement beaucoup moins attaqués que les autres ».
À l’inverse, ceux qui ne concèdent pas ces efforts, voire qui s’imaginent sortis d’affaire en versant simplement la rançon demandée, s’exposent à des désillusions douloureuses. En septembre dernier, l’entreprise de services numériques indo-américaine Artech a ainsi montré qu’une attaque peut paraître maîtrisée, sans que son système d’information soit véritablement assaini.
Réutilisation ou second point d’entrée ?
Artech est en fait la première entreprise dont les opérateurs de Revil/Sodinokibi divulguaient des données volées après une compromission réussie. C’était il y a un an : ils publiaient les liens vers plus de 300 Mo de données selon eux dérobées par leurs soins, rapportaient alors nos confrères de Bleeping Computer. L’ESN a attendu le 4 septembre dernier pour reconnaître l’incident. Et moins de dix jours plus tard, ironie du calendrier, patatras ! Les opérateurs de Maze ont revendiqué à leur tour la compromission d’Artech, diffusant au passage près de 1,5 Go de données volées à l’occasion.
Deux points d’entrée distincts peuvent être imaginés. Mais Brett Callow, analyste chez Emsisoft, avançait une hypothèse supplémentaire : « que l’affilié [à Revil] responsable de la première attaque se soit laissé une porte d’entrée dans le réseau et ait alors donné accès à un autre groupe ».
L’homologue britannique de l’Anssi, le NCSC, vient de faire état d’un cas comparable, outre-Manche : « nous avons entendu parler d’une organisation qui a payé une rançon (un peu moins de 6,5 M£ aux taux de change actuels) et récupéré ses fichiers (en utilisant l’outil de déchiffrement fourni), sans [faire] le moindre effort pour identifier l’origine de l’attaque et sécuriser leur réseau ».
Bien sûr, cela pas raté : « moins de deux semaines plus tard, le même attaquant attaquait le réseau de la victime à nouveau, utilisant le même mécanisme qu’au préalable, et redéployant son rançongiciel ». La victime a cédé à nouveau.
Des exemples récents
De tels cas sont rares, mais pas inexistants. En France, l’attaque des laboratoires Expanscience a été revendiquée une première fois par Maze mi-août 2020, puis par Conti, début novembre. Là encore, pour Brett Callow, « le plus probable est qu’un affilié ait réutilisé une porte dérobée créée lors de l’attaque initiale pour déployer Conti ».
Autre exemple : Bouygues Construction, victime de Maze début 2020, alors que sa filiale canadienne avait été frappée par Ryuk en 2019.
Plus récemment, c’est Amey qui a illustré ce risque et, dès lors, l’importance d’une remédiation malheureusement laborieuse : les opérateurs de Cl0p, le groupe TA505, l’ont ajouté à la liste de leurs victimes mi-janvier. Mais ceux de Mount Locker l’avaient déjà fait fin décembre dernier, autour de Noël.
Les deux groupes ne sont pas connus pour partager les mêmes techniques d’intrusion initiale. S’il n’est pas possible d’exclure qu’un courtier en accès initiaux ait servi les deux groupes, l’hypothèse de deux vecteurs d’intrusion distincts apparaît plus probable. Dans tous les cas, une telle situation laisse entrevoir un nettoyage rapide, superficiel, et manifestement très insuffisant du système d’information de la victime.