Le Danois ISS se fait à son tour piéger par un ransomware

Le leader mondial des « facility services » vient allonger la liste des entreprises victimes de cyberattaques à la sauce rançongiciel. Dans un communiqué de presse, ISS indique avoir été la « cible d’une attaque par maliciel » et, « par précaution et dans le cadre de notre procédure opératoire standard » avoir également « immédiatement désactivé l’accès aux services IT partagés entre nos sites et pays ». Selon le groupe, « la cause » de l’incident a été identifiée. ISS explique travailler « avec des experts légistes, notre hébergeur et une équipe spéciale externe pour restaurer graduellement nos systèmes IT ». Selon le communiqué de presse, « certains systèmes ont déjà été restaurés » et « rien n’indique de compromission de données clients ».

Ces affirmations ont toutefois de quoi surprendre. Selon nos sources, c’est le rançongiciel Ryuk qui a été utilisé contre ISS, fréquemment distribué via Emotet puis Trickbot. Et justement, Cryptolaemus, qui s’est fait une spécialité de suivre l’activité d’Emotet, nous indique que ses opérateurs ont significativement visé le groupe au cours du mois écoulé, notamment sur des sous-domaines danois, mais pas exclusivement. Puisqu’Emotet apparaît inactif depuis une dizaine de jours, cela tend à donner un début d’indication quant à la période durant laquelle l’infection initiale a pu survenir.

Mais voilà, Trickbot est aussi utilisé pour dérober des données. Cybereason l’avait d’ailleurs souligné dans un billet de blog, au printemps dernier. Et il ne manque pas d’évoluer régulièrement. A l’automne dernier, il lui a été découvert un module dédié au vol de clés privées SSH et de fichiers de configuration OpenVPN. Plus récemment, Vitali Kremez, chez SentinelOne, s’est penché sur une nouvelle porte dérobée particulièrement furtive et développée par les opérateurs de Trickbot. Tout récemment, ceux-ci ont en outre doté leur cheval de Troie de nouvelles capacités de contournement de certains mécanismes de protection de Windows 10.

Les opérateurs de Ryuk n’en sont pas à leur coup d’essai. Pour Adam Meyers, vice-président de CrowdStrike en charge du renseignement sur les menaces, les attaques impliquant Ryuk font partie de ce que le fournisseur appelle la « chasse au gros gibier » où des groupes de cyberdélinquants comme Grim Spider ciblent les grandes entreprises afin de générer des paiements élevés, rapidement : « dans de tels cas, le ransomware est déployé dans l’ensemble de l’organisation pour maximiser les revenus ». Les auteurs de Ryuk sont soupçonnés d’agir depuis la Russie. Prosegur s’est déclaré lui-même victime de Ryuk à l’automne dernier, avant que ce ne soit le tour des gardes côtes américains en décembre.

Mais le travail de reconstruction qui attend ISS pourrait aussi être l’occasion de la mise en place de politiques de sécurité plus renforcées. Car certains éléments de ce que le groupe donne à voir ne relèvent pas nécessairement de l’hygiène de cybersécurité la plus stricte. Ainsi, Onyphe nous a indiqué tôt aujourd’hui qu’ISS a exposé précédemment sur Internet un équipement vulnérable à la faille dite Shitrix. Bad Packets Report indique de son côté en avoir identifié un dès le 11 janvier, avant de le signaler aux autorités compétentes.