Ransomware : quand les assaillants atteignent leur but en un clin d’œil

Le scénario apparaît bien établi. L’Agence nationale pour la sécurité des systèmes d’information (Anssi) l’expliquait l’an dernier au sujet de LockerGoga : l’exécution du ransomware « est réalisée sur plusieurs semaines (voire plusieurs mois) après la compromission effective de la cible. Une étude approfondie de la cible et de son infrastructure est donc fortement probable ». En somme, lorsque le rançongiciel est déclenché, les assaillants ont eu tout le temps de compromettre largement le système d’information.

Dans ce contexte, le billet de blog de « JW » surprend. Car l’expert l’assure : « il y a quelques jours, je suis tombé sur un échantillon de Trickbot […]. Les attaquants avaient exécuté Cobalt Strike sur plusieurs machines en 30 minutes et pris la main sur l’activité en 60 minutes ». Au final, entre le déploiement du cheval de Troie et le déclenchement du ransomware, il n’avait fallu qu’un peu plus de deux heures. Une goutte d’eau au milieu d’une mer d’événements de sécurité, en somme. L’incident en question implique Ryuk, le rançongiciel qui a été utilisé contre ISS World.

Dans son billet de blog, « JW » explique que « les opérateurs de Ryuk se déplacent rapidement et utilisent généralement des outils de sécurité offensifs tels que Cobalt Strike, PowerView et/ou Empire ». Mais il l’assure, « c’est la première fois que j’entends ou que je vois Ryuk bouger aussi vite ».

Chez Kaspersky, Félix Aimé abonde. Pour lui, « la rapidité est là vraiment surprenante ». Et de développer : « généralement, le cycle d’attaque est plus long ». Et justement, « là, le mode opératoire diffère de ce que l’on observe généralement avec Ryuk : cela ne ressemble pas aux opérateurs que l’on peut trouver à l’œuvre sur certaines grosses affaires ». Dès lors, pour l’analyste, « à ce stade, toutes les hypothèses sont envisageables de l’incident isolé – peut-être un simple entraînement, d’ailleurs – à l’émergence d’une tendance ».

Pour Brett Callow, analyste chez Emsisoft, la rapidité « varie selon les acteurs. Dans les cas impliquant un vol de données [le déclenchement du ransomware] est généralement plus tardif. Il faut là un peu de temps pour analyser le réseau, collecter et chiffrer les données, puis les copier sur un serveur distant sans déclencher des alarmes internes ».

Quoiqu’il en soit, « JW » estime que cette observation inhabituelle prêche en faveur de la mise en œuvre de moyens de détection pour « Trickbot, Cobalt Strike, Empire et PowerView », en tenant compte de l’évolution régulière de ces éléments logiciels. Félix Aimé ne dit pas autre chose. Pour lui, « cela appelle effectivement au renforcement des capacités de détection en amont, autour de Trickbot, d’Emotet, des flux utilisés pour CobaltStrike, Metasploit, et Empire ». Et sans compter « la prévention également, en bloquant PSExec sur le réseau, n’en déplaise aux administrateurs ».