Cyberattaque : de l'accès initial au ransomware en... 8 mois
Les conclusions de l’enquête sur la cyberattaque contre le comté de Suffolk aux États-Unis, découverte en septembre 2022, revendiquée par Alphv/BlackCat sont formelles : tout avait commencé 8 mois plus tôt.
La surprise est tout aussi totale que violente, le 8 septembre 2022, dans les bureaux du comté de Suffolk, dans l’état de New York, aux États-Unis. C’est ce jour-là qu’est découverte une cyberattaque impliquant un rançongiciel.
Comme beaucoup, cette attaque sera débilitante pour l’administration territoriale : une bonne partie de ses plus de 10 000 collaborateurs reviendra au papier et au crayon. La messagerie électronique sera mise à l’arrêt. Les services d’urgence en seront réduits à traiter les appels manuellement. Pour la police, fini l’informatique et retour à la radio. Et tout cela durant plusieurs semaines.
Pour autant, la cyberattaque n’aura effectivement affecté que 1,6 % des systèmes de l’ensemble des domaines gérés par les équipes du comté. Peu, mais déjà trop. À ce jour, tous les systèmes touchés ne sont d’ailleurs pas encore à nouveau opérationnels, malgré la mise à contributions d’équipes de Cisco et de Palo Alto Networks.
Selon la presse locale, le comté a dépensé 3,4 millions de dollars pour réparer et relancer son système d’information, et 2 millions de plus pour enquêter sur la cyberattaque. Une enquête qui apporte un éclairage singulier sur la chronologie des événements.
Car la cyberattaque n’a pas commencé en septembre 2022, loin de là. Pour trouver son point de départ, il faut remonter à décembre 2021.
Souvenez-vous : c’est le 10 décembre 2021 qu’est dévoilée la vulnérabilité dite Log4Shell. Référencée CVE-2021-44228, elle affecte le projet log4j de la fondation Apache. Il s’agit d’une bibliothèque de journalisation d’événements très largement utilisée.
Dès le 11 décembre, Microsoft alertait sur l’exploitation de cette vulnérabilité pour l’installation de balises Cobalt Strike.
Ces balises sont notamment fréquemment utilisées dans le cadre des activités de déplacement latéral préalable à la détonation de ransomware. Selon AdvIntel, la franchise de ransomware Conti avait alors déjà commencé à exploiter Log4Shell pour ses activités mafieuses.
Mais c’est le groupe Alphv/BlackCat qui a revendiqué cette cyberattaque s’étant donc étalée sur plus de 8 mois. Un temps durant lequel 400 Go de données ont été dérobés, dont certaines comportent des informations personnelles de 1,5 million de résidents du comté.
Au départ, la vulnérabilité Log4Shell n’avait été exploitée que pour prendre pied dans le système d’information, y installer un cryptomineur, et mettre en place différents mécanismes de persistance afin de pouvoir sereinement attendre avant de poursuivre la chaîne cinétique d’attaque.
Les cryptomonnaies ont tendance à se faire moins remarquer que les ransomwares. Ils n’en sont pas moins dangereux. D’autant plus qu’ils peuvent constituer un signe avant-coureur – parmi d’autres. Le cas du comté de Suffolk le souligne douloureusement.