Le blog de la Cybersécurité

by OpenSphere.

Revenir au blog

Ransomware : un mois de septembre 2020 sans précédent

La rentrée a été marquée par un nombre jamais égalé de cyberattaques connues impliquant un rançongiciel. Le fruit de la conjonction de multiples facteurs. Et ceux-ci ne laissent pas entrevoir de véritable apaisement.

Sur le mois de septembre, nous avons recensé près de 270 attaques de ransomware à travers le monde, une explosion par rapport aux mois précédents, alors que juin et août avaient déjà été marqués par une activité intense des cyberdélinquants. Mais attention aux trompe-l’œil.

En France, nous en avons compté 10 avérées, auxquels s’ajoute un cas soupçonné, mais non confirmé à ce stade, contre 8 en août et à peu près autant en juillet. Les attaques confirmées figurent dans la frise chronologique que nous actualisons régulièrement. Chez Intrinsec, Cyrille Barthelemy fait état de 13 cas « en mode crise » en septembre, contre 10 en août.

Et de préciser que ses capacités d’interventions n’étaient évidemment pas les mêmes en plein été qu’à la rentrée. Chez I-Tracing, Laurent Besset relève quant à lui 9 interventions lors du mois écoulé, contre 4 lors du précédent. Chez Advens, Benjamin Leroux avance quant à lui 3 interventions majeures et moins de 5 interventions mineures. Mais tout de même 150 détections de menaces susceptibles de conduire à une détonation de ransomware, dont surtout de l’Emotet.

Début septembre, l’Agence nationale pour la sécurité des systèmes d’information (Anssi) indiquait avoir traité, depuis le début de l’année, 104 attaques de ransomwares, contre 54 sur 2019 dans son ensemble. Et bien sûr, cela ne tient pas compte des cas hors de son périmètre d’intervention.

Du côté de la plateforme Cybermalveillance.gouv.fr, le directeur général du GIP Acyma, Jérôme Notin, faisait état, toujours début septembre, de 1 082 signalements de ransomware à date, depuis le lancement de la plateforme le 4 février, avec 44 % d’entreprises ou d’associations et 10 % d’administrations ou collectivités. Sur septembre, Jérôme Notin, relève 131 demandes d’assistance, contre 104 en août, et 122 en juillet.

Dans l’Hexagone, il apparaît difficile, à ce stade, de parler d’explosion. Mais si la tendance à la progression apparaît moins prononcée que pour le reste du monde, la menace apparaît sans aucun doute se maintenir à un niveau élevé.

La situation peut trouver au moins deux explications, lesquelles laissent à penser que la menace n’est pas appelée à s’atténuer dans un proche avenir. Nous les développons ci-dessous, après la frise chronologique.

Frise Chronologique des attaques

Un terreau très propice

Le premier élément d’explication est la multiplication des découvertes de vulnérabilités ouvrant les portes des systèmes d’information des organisations publiques comme privées. On pense notamment là aux systèmes d’accès à distance, ou aux serveurs VPN, avec la vulnérabilité CVE-2019-19871 pour les systèmes Citrix Netscaler Gateway, la CVE-2020-3452 pour les Cisco ASA, la CVE-2019-11510 pour les VPN Pulse Secure, la CVE-2020-5902 pour les systèmes F5, ou encore la CVE-2020-2021 pour les systèmes Palo Alto Networks et la CVE-2018-13379 pour les serveurs VPN Fortinet.

Et ce n’est pas tout. Il convient d’ajouter à cela certaines vulnérabilités affectant des applicatifs et prisées par les assaillants, comme la CVE-2020-6287 pour SAP Netweaver, ou la CVE-2019-11580 pour les serveurs Atlassian Crowd… ou encore ces nombreux services RDP accessibles en ligne sans authentification sur la couche réseau (NLA).

En fait, toute vulnérabilité permettant d’obtenir un accès initial dans un système d’information est susceptible d’être exploitée avant que ne soit revendu cet accès à des cyberdélinquants. Les opérateurs de ransomware sont particulièrement friands de ces accès, proposés parfois à la vente pour ce qui peut ressembler à une bouchée de pain par rapport au montant des rançons demandées ensuite.

À cela s’ajoutent enfin des vulnérabilités comme Zerologon qui peuvent accélérer la prise de contrôle du domaine Active Directory de la victime, une fois les attaquants dans la place, si les correctifs n’ont pas été appliqués.

Des cybermafieux particulièrement actifs

ransomware-202009

À cet environnement fertile s’ajoute une agressivité accrue des assaillants. Emotet a récemment fait un retour en fanfare, touchant des entreprises, des magistrats, ou encore collectivités locales, comme à Besançon. L’homologue allemand de l’Anssi, le BSI, a recommencé à alerter d’ailleurs localement sur la menace depuis le début du mois septembre, après une première campagne d’information lancée début août.

De son côté, Proofpoint l’évoquait fin août, mentionnant des messages en français… mais sans indiquer la France parmi les cibles. L’Anssi a récemment sonné le tocsin. Et c’est essentiel, car comme le rappelait récemment Nicolas Caproni, patron du renseignement sur les menaces de Sekoia : « détecter Emotet, TrickBot ou Qakbot est sûrement le signe avant-coureur d’une attaque de plus grande ampleur ».

À cela s’ajoute l’apparition de nouveaux ransomwares pratiquant la double extorsion : le paiement d’une rançon n’est pas exigé uniquement pour déchiffrer les données, mais aussi pour éviter leur divulgation. Le nouveau Conti est particulièrement agressif, mais il faut aussi compter avec MountLocker, SunCrypt, LockBit, ou Egregor (ex-Sekhmet). Les plus connus, comme Maze et Revil/Sodinokibi, n’ont pas pour autant raccroché les gants. Et puis il y a aussi les plus « discrets » comme RansomExx, Ekans, ou encore Ryuk.

Justement, ce phénomène impose une certaine prudence : la progression considérable du nombre de ransomwares jouant la double extorsion est susceptible de produire un effet de loupe. De fait, le nombre d’attaques connues n’est pas plus élevé uniquement parce que les attaques sont plus nombreuses, mais aussi parce qu’un plus grand nombre d’entre elles sont rendues publiques. Une analyse partagée par Jérôme Notin.

Une mafia qui se nourrit de ses victimes

En outre, la multiplication des victimes appelle elle-même à une nouvelle multiplication des victimes. Comme le souligne Fabien Lorc’h, d’Airbus CyberSecurity, « quand un majeur comme [CMA-CMG] est touché, l’ensemble du secteur et [de ses] contacts deviennent encore plus à risque

Pivoter d’une cible à l’autre. Au final, pour oser une métaphore, une campagne de ransomware, c’est comme une pandémie : un seul patient touché, et ce sont des tas de cas contact ».

De fait, les données dérobées par les cyberdélinquants avant le déclenchement de leur rançongiciel peuvent être de véritables mines d’or pour de futures campagnes de hameçonnagehautement ciblé… et facilité par l’utilisation d’informations bien réelles glanées à l’occasion de la précédente attaque. Une seule liste de milliers d’adresses e-mail assorties de quelques éléments personnels supplémentaires peut déjà constituer un point de départ redoutable. Mi-juillet, Brett Callow, chez Emsisoft, attirait notre attention sur un tel cas suspect. Et c’est sans compter avec la mise à profit d’interconnexions techniques. Ou l’illusion de sécurité venant d’un assainissement insuffisant du système d’information compromis.

 

Et puis chaque rançon versée permet aux cybertruands de recruter de nouveaux complices. Récemment, le groupe Revil, opérateur du ransomware Sodinokibi, a ainsi pu s’offrir le luxe de déposer une caution de près de 1 M$, en bitcoins, dans un forum assidûment fréquenté par les cyberdélinquants comme garantie pour de futures recrues. Tout en détaillant les modalités de partage des butins

Car si les mafieux du rançongiciel commencent par acheter des accès aux systèmes d’information de cibles potentielles, ils embauchent ensuite des pirates capables d’en tirer profit pour aller compromettre le contrôleur du domaine Active Directory, et déployer leur charge utile. Avant de partager les revenus.

Comment se protéger

De fait, la cybercriminalité financière emprunte largement aux APT soulignait début février dans nos colonnes, Ivan Kwiatkowski des équipes de recherche et d’analyse de Kaspersky. Concrètement, cela veut dire que l’attaque s’étend largement en profondeur dans le système d’information, jusqu’à l’obtention de privilèges dignes d’un administrateur et donnant un accès très vaste aux données de l’entreprise compromise.

C’est pourquoi, lorsque le ransomware détone, c’est vraiment trop tard. Et l’infrastructure Active Directory doit être solidement protégée et pensée de manière robuste, en tiers distincts selon la criticité des rôles, sans jamais appréhender la réplication comme une sauvegarde.

La sécurité des potentiels points d’entrée exposés sur Internet apparaît sans doute cruciale, avec l’application des correctifs disponibles pour les vulnérabilités connues. Et c’est sans compter la protection contre les menaces diffusées par la messagerie électronique, à commencer par Emotet, comme nous le détaillions récemment.

Au-delà, il convient de limiter autant que possible les capacités de déplacement latéral de l’assaillant, comme le décrit Benjamin Delpy, créateur de Mimikatz, dans nos colonnes, ainsi que de sécuriser les outils d’administration pour empêcher leur détournement par des cyberdélinquants.

 

Source : LeMagIT.fr

Sur le même thème

Zerologon : Microsoft signale des attaques

Sécurité : Microsoft annonce avoir détecté des attaques exploitant la faille Zerologon. Plusieurs exploits ont été publiés en ligne au cours des derniers jours. Le patch corrigeant cette importante vulnérabilité dans NetLogon est disponible depuis le mois d'août. Des pirates informatiques exploitent activement la vulnérabilité de Zerologon dans des attaques réelles, annonçait ce matin l'équipe de renseignement sur la sécurité de Microsoft. « Microsoft suit activement les activités d'acteurs malveillants utilisant des exploits pour la vulnérabilité EoP CVE-2020-1472 Netlogon, surnommée "Zerologon". Nous avons observé des attaques où des exploits publics ont été incorporés dans les outils des attaquants », a écrit la société dans une série de tweets. Selon les experts de l'industrie de la sécurité, ces attaques étaient attendues. Une vulnérabilité facilement exploitable Plusieurs versions de l'exploit de cette vulnérabilité ont été publiées en ligne sous une forme librement téléchargeable depuis que des détails sur la vulnérabilité de Zerologon ont été révélés le 14 septembre par la société de sécurité néerlandaise Secura BV. Le premier exploit a été publié quelques heures après la publication du post, confirmant l'analyse de Secura selon laquelle le bug Zerologon est facile à exploiter, même par des acteurs peu qualifiés. Le CERT-FR signalait la semaine dernière que des exploits étaient déjà publiquement disponibles, et a remis à jour son bulletin d'information sur Zerologon lundi pour y ajouter des informations d'aide à la détection. Une explication plus approfondie du bug Zerologon est disponible dans notre couverture initiale de la vulnérabilité. Le bug Zerologon est une vulnérabilité de Netlogon, le protocole utilisé par les systèmes Windows pour s'authentifier sur un serveur Windows fonctionnant comme contrôleur de domaine. L'exploitation du bug Zerologon peut permettre à des pirates de prendre le contrôle du contrôleur de domaine et, par essence, du réseau interne d'une organisation. Mises à jour nécessaires Zerologon a été décrit par beaucoup comme la plus dangereuse des failles de sécurité révélées cette année. Au cours du week-end, le DHS a donné trois jours aux agences fédérales pour corriger le bug sur les contrôleurs de domaine, ou les déconnecter des réseaux fédéraux. Dans une alerte publiée lundi, la CISA explique que le bug Zerologon affecte également le logiciel de partage de fichiers Samba, qui doit aussi être mis à jour. Le CERT-FR a également publié un bulletin d'information concernant l'impact de Zerologon sur Samba : l'utilisation de cette vulnérabilité permet ici une élévation de privilèges lorsque le serveur Samba est utilisé comme contrôleur de domaine. Bien que Microsoft n'ait pas donné de détails sur les attaques, il a publié des hashs de fichiers pour les exploits utilisés dans les attaques. Comme plusieurs experts en sécurité l'ont recommandé depuis que Microsoft a révélé ces attaques, les entreprises dont le contrôleur de domaine est exposé sur internet doivent mettre leurs systèmes hors ligne pour les réparer. Les serveurs accessibles par internet sont particulièrement vulnérables, car les attaques peuvent être mises en œuvre directement, sans que le pirate ait besoin de s'introduire dans les systèmes internes. Source :ZDNet.com        

Assises de la cybersécurité 2020 : positivons !

Les Assises de la cybersécurité viennent de s’ouvrir au Grimaldi Forum de Monaco. L’événement fête ses vingt ans et a débuté avec une session plénière de Guillaume Poupard, en charge de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). En substance il a salué le travail effectué et a voulu porter un message positif pour l’avenir. La session plénière a débuté avec un message d’accueil du ministre de l’Intérieur de la Principauté de Monaco qui a tenu à démontrer comment son pays était engagé dans une vaste transformation autour du numérique et donc de la cybersécurité pour créer un espace de confiance exemplaire afin d'attirer les entreprises et les parties prenantes autour des nouvelles technologies. Il a pris pour exemple le projet autour d’Extended Monaco qui met en avant chaîne de blocs, Cloud et 5G. Un message positif  Guillaume Poupard a pris un peu l’assistance a contre-pied avec un discours mettant en avant les points positifs qu’il a distingué durant la période récente. Tout le monde s’attendait à un énième message d’alerte vers les entreprises pour les sensibiliser sur une « menace toujours croissante ». Il s’est expliqué de ce contre-pied en indiquant qu’il « avait le sentiment que la phase d’évangélisation était enfin terminée. Aucun dirigeant d’entreprise ne « peut pas dire qu’il n’était pas au courant » et qu’il était fautif dans le cas contraire. Il a continué : « c’est un message d’espoir car nous pouvons maintenant nous concentrer sur les solutions » pas seulement techniques mais humaines et de gouvernance. Il a rappelé le dernier opus de son agence pour préparer et aider les entreprises par un guide de la gestion de crise. Ancien militaire il ne peut croire qu’en la vertu de l’entraînement ! Il a ensuite mis en exergue le travail autour des certifications réalisées par son agence et en particulier autour de prestataires de confiance et d’un référentiel nouveau PAMS pour aider les entreprises à reconstruire leur réseau au lendemain d’une attaque ou encadrer un prestataire autour de l’assistance à la conception.  Il a aussi évoqué des projets pour aller plus loin dans l’éducation à la cybersécurité avec des programmes qui existent déjà à destination des élèves de première et de seconde. Il a ajouté : « les outils pour le faire arrivent ainsi que la formation des enseignants ». Éviter angélisme et naïveté Il a pris en point d’orgue les différents projets et efforts dans la coopération européenne autour de la cybersécurité et nous a assuré que l’entraide à ce niveau était nécessaire à défaut de ne pouvoir lutter du fait du morcellement européen. Il souhaite que cette coopération apporte de l’objectivité dans les débats car « le caricatural est mauvais mais il faut aussi éviter l’angélisme et la naïveté ». Cette collaboration peut faire notre force indique le directeur de l’ANSSI.  La keynote s’est conclue par un point de Michel Van Den Berghe concernant le campus de cyberdéfense dont L’Informaticien a largement parlé au cours des dernières semaines. Guillaume Poupard apprécie cette initiative : « il nous fallait un lieu à l'image de ce qui s’est fait en Bretagne ». Il conclut par le besoin de continuer l’ensemble de ces efforts. Source : Linformaticien.com

Google révèle la plus grande attaque DDoS de l'histoire

Technologie : Tenue secrète jusqu'à vendredi dernier, l'attaque DDoS a eu lieue en septembre 2017 et serait le fait d'un cyberattaquant parrainé par un Etat. Image : Google Cloud. L'équipe Google Cloud a révélé vendredi dernier une attaque DDoS non divulguée qui a ciblé le service Google en septembre 2017. Elle avait atteint 2,54 Tb/s, faisant d'elle la plus grande attaque DDoS enregistrée à ce jour. Une attaque venue de Chine Dans un article séparé publié au même moment, le Google Threat Threat Analysis Group (TAG), l'équipe de sécurité de Google qui analyse les groupes de menaces haut de gamme, précise que l'attaque a été menée par un acteur de la menace parrainé par un Etat. Les chercheurs du TAG affirment que l'attaque est venue de Chine, car elle avait pour origine le réseau de quatre fournisseurs chinois de services internet (ASN 4134, 4837, 58453 et 9394). Damian Menscher, un ingénieur en fiabilité et sécurité pour Google Cloud, raconte que le pic de 2,54 Tb/s correspond à « l'aboutissement d'une campagne de six mois » qui a utilisé de multiples méthodes d'attaques pour marteler l'infrastructure des serveurs de Google. Il n'a cependant pas révélé quels services étaient visés. L'attaque DDoS la plus importante jamais enregistrée « L'attaquant a utilisé plusieurs réseaux pour usurper 167 Mp/s (des millions de paquets par seconde) à 180 000 serveurs CLDAP, DNS et SMTP exposés, qui nous envoyaient ensuite des réponses importantes », explique Damian Menscher. Ces informations « démontrent les volumes qu'un attaquant bien équipé peut atteindre : c'est quatre fois plus que l'attaque record de 623 Gb/s du botnet Mirai un an plus tôt [en 2016] ». En outre, cette attaque est également plus importante que l'attaque DDoS de 2,3 Tb/s qui a ciblé l'infrastructure AWS d'Amazon en février de cette année. Les attaques DDoS vont augmenter avec la bande passante Bien que l'attaque ait été gardée secrète pendant trois ans, Google a révélé l'incident la semaine dernière pour différentes raisons. Tout d'abord, l'équipe TAG de Google veut sensibiliser à la tendance croissante des groupes de cyberattaquants parrainés par des Etats, qui utilisent des attaques DDoS pour perturber leurs cibles. L'équipe de Google Cloud voulait également mettre en avant le fait que les attaques DDoS vont s'intensifier dans les années à venir, à mesure que la bande passante disponible pour internet va augmenter. Dans un rapport publié mercredi dernier, la société de datacenters Equinix prévoit une augmentation d'environ 45 % (~16 300+ Tb/s) de la bande passante d'interconnexion mondiale d'ici 2023. Pour tout savoir sur les attaques de DDOS Qu'est-ce qu'une attaque DDoS ? Tout savoir pour les reconnaître et s'en protéger Source : ZDNet.com