Ransomware : l’Anssi dissèque Lockergoga dans un rapport détaillé

L’Agence nationale pour la sécurité des systèmes d’information (Anssi) vient de publier un rapport très complet sur LockerGoga, soupçonné d’avoir été à l’œuvre chez Altran et Norsk Hydro, notamment. Ce document s’avère remarquable à plusieurs égards.

Tout d’abord, il présente des indicateurs de compromission – et en particulier des condensats d’exécutables utilisés par les attaquants – jusqu’ici totalement inédits. Certains fichiers correspondants semblent même n’avoir jamais été transférés par analyse sur Virus Total. Impossible de dire donc à quand ils remontent et s’ils sont détectés par les solutions de protection des postes de travail et des serveurs. La comparaison avec la liste d’indicateurs tenue à jour par SwitHack permet de mesurer l’étendue de la contribution de l’Anssi.

Surtout, là où éditeurs et équipementiers spécialistes de la sécurité informatique ont multiplié les dissections du rançongiciel en lui-même, la charge utile finalement détonée sur les machines des victimes, l’Anssi va plus loin en déroulant le mode opératoire des attaquants. L’Agence confirme ainsi au passage ce que disaient plusieurs experts depuis un certain temps, et tout récemment Ivan Kwiatkowski, de Kaspersky : les acteurs derrière LockerGoga n’attaquent pas à la va-vite. En fait, pour l’Anssi, c’est bien simple : l’exécution du ransomware « est réalisée sur plusieurs semaines (voire plusieurs mois) après la compromission effective de la cible. Une étude approfondie de la cible et de son infrastructure est donc fortement probable ». Un méthodisme qui sonne comme une très mauvaise nouvelle pour les victimes.

Mais l’Agence ne s’arrête pas en si bon chemin et explique le cheminement : « l’attaquant utilise des outils connus tels que Metasploit, Empire, et Cobalt Strike ainsi que psexec » pour se déplacer dans l’environnement de sa cible ; il « prend le contrôle d’au moins un compte administrateur et effectue différents rebonds via le protocole RDP dans l’infrastructure ciblée pour ensuite déposer ses outils dans des serveurs spécifiques ».

Parmi ces outils, il y a notamment un script DOS dont l’Anssi fournit un condensat, mais pas le détail et qui « rappelle », selon elle, « celui utilisé par le groupe d’attaquants Grim Spider ». Kevin Beaumont le détaille : il permet de forcer l’arrêt de nombreux processus, et en particulier des outils de protection des postes de travail et des serveurs, ainsi que certains agents de systèmes de sauvegarde – dont ceux d’Acronis et de Veeam. Check Point s’était penché sur celui utilisé avec Ryuk à l’été dernier.

Les ressemblances ne s’arrêtent pas là : l’Anssi ajoute le recours systématique à deux services de messagerie électronique distincts pour les demandes de rançon ; la création d’un reverse shell pour agir à distance dans l’environnement compromis ; et l’utilisation de psexec pour « copier et exécuter le rançongiciel afin de chiffrer les machines cibles ».

Kaspersky faisait également tout récemment ce rapprochement, entre les opérateurs de LockerGoga et ceux de Ryuk, mais sans préciser sur quoi cette assertion était fondée.

Dans son rapport, l’Anssi ne révèle sans aucun doute pas tout ce qu’elle sait sur ces deux rançongiciels, mais elle fournit tout de même suffisamment d’éléments jusqu’ici inédits pour aider certains à renforcer leur protection, son objectif affiché. Mais l’on relèvera l’absence d’éléments relatifs au vecteur d’infection initial, présenté par l’Agence comme « inconnu » dans son graphique de représentation du mode opératoire des attaquants.