LockerGoga : la nature ciblée des cyberattaques tend à se confirmer

Deux entreprises américaines du monde de la chimie, Hexion et Momentive, ont été victimes de LockerGoga, selon nos confrères de Motherboard, le ransomware soupçonné d’avoir frappé récemment Norsk Hydro et Altran. Et il faudrait compter sur d’autres sociétés ciblées. Kevin Beaumont relève ainsi que l’on recense au moins 8 échantillons uniques du rançongiciel, pour quatre victimes suspectées. Il souligne au passage que « des personnes discutent du cas de leur entreprise » sur Internet. Et aucune ne semble frappée au hasard.

L’une des particularités de LockerGoga est l’absence de mécanisme lui permettant de se diffuser seul sur le réseau de l’organisation visée : il doit être déployé via un outil de distribution logicielle. Pour Ivan Kwiatkowski, chercheur en sécurité chez Kaspersky, cela ne fait aucun doute : « les acteurs derrière LockerGoga ont réfléchi sérieusement et longuement à la manière de maximiser leurs gains ». Félix Aimé, analyste chez le même éditeur, ajoute : « ils savent parfaitement combien de postes de travail et de serveurs ont été visés grâce à [l’annuaire] Active Directory ». Forts de cette connaissance, les attaquants n’ont pas besoin d’identifier précisément chaque machine chiffrée par leurs soins, ni de définir une clé de déchiffrement unique pour chacune d’entre elles : l’extorsion vise l’organisation touchée dans son entièreté.

Alors Ivan Kwitkowski évoque un lien possible avec le groupe GrimSpider, tel que le nomme Crowdstrike, présenté comme spécialiste de la « chasse au gros gibier ». Le ransomware Ryuk est attribué à ce groupe. Mais les ressemblances s’arrêtent là : les deux maliciels présentent d’importantes différences, comme a pu le souligner Trend Micro.

Alien Vault maintient une pulse pour aider à prévenir les déploiements et les déclenchements de LockerGoga. Il existe également une règle Yara régulièrement mise à jour par des experts volontaires.

Pour autant, la chaîne complète de compromission des opérateurs de LockerGoga reste largement à établir de manière définitive. Fin janvier, le chercheur en sécurité SwitHack évoquait le hameçonnage ciblé comme potentiel vecteur d’entrée. Peut-être, mais après ?

Selon Ivan Kwiatkowski, Cobalt Strike serait à l’œuvre pour le déplacement au sein de l’environnement visé et, en définitive, le détournement des outils de distribution logicielle.
Cobalt Strike est avant tout conçu comme un outil d’entraînement des équipes de défense et de protection des systèmes d’information. Il présente une interface graphique visant à simplifier les déplacements latéraux, en mettant à profit Mimikatz notamment et peut être utilisé pour contrôler à distance un système compromis avec Meterpreter. Ivan Kwiatkowski estime que les acteurs opérant LockerGoga utilisent Cobalt Strike avec des serveurs de commande et de contrôle qui « utilisent le certificat SSL par défaut sur le port 443 ».

Félix Aimé va plus loin et recommande de bloquer tous les serveurs de commande et de contrôle connus de Cobalt Strike, relevant que la plupart de ceux-ci, n’étant pas mis à jour régulièrement, « sont largement liés à des cochonneries (APTs, débutants, et autres) ». Une première mesure de prévention pour éviter de devoir en passer par la reconstruction ou le paiement d’une rançon.

Et ce n’est pas la seule. Félix Aimé recommande ainsi d’activer la traçabilité de Powershell, « bloquer les appels entrant sur le port 445 des servers et des postes de travail en utilisant le pare-feu local, bloquer toutes les communications [de commande et de contrôle] avec la certification Cobalt Strike par défaut, prévenir l’utilisation de PSexec via Applocker ou en utilisant votre solution d’EDR préférée ».

Ces mesures de protection apparaissent d’autant plus importantes que, comme nous l’a confié Laurent Besset, directeur cybersécurité chez I-Tracing, il n’est pas rare d’observer l’utilisation de Cobalt Strike pour la compromission d’infrastructures Active Directory.

Qui plus est, les listes de signatures des outils de protection du poste de travail ne sont pas toujours mises à jour avec la vélocité que l’on pourrait souhaiter. L’expert Fabian Rodes l’assure ainsi : « j’ai pu constater, lors de plusieurs interventions, que la souche du malware n’est détectée par l’antivirus qu’à J+X (entre 5 et 7 dans mon cas) ». D’où l’importance, pour lui, de « la configuration de l’heuristique de l’antivirus de l’entreprise », car « seule une heuristique forte sur l’agent antivirus permet de se protéger contre une souche virale non-identifiée d’un ransomware ».