Ransomware : pourquoi la menace peut encore s’aggraver

Trop de systèmes vulnérables

Second indice : certains messages semblent encore avoir du mal à passer, laissant des avenues grandes ouvertes aux assaillants. Cela commence avec l’application des correctifs, tout particulièrement pour certains équipements sensibles. Le moteur de recherche spécialisé Onyphe recensait récemment encore, pour les entreprises du classement Fortune 500, 15 systèmes Citrix Netscaler Gateway affectés par la vulnérabilité CVE-2019-19871 exposés sur Internet, mais aussi 659 Cisco ASA concernés par la CVE-2020-3452, tout de même 5 serveurs VPN Pulse Secure, ou encore près de soixante systèmes SAP touchés par la vulnérabilité CVE-2020-6287.

Nous-mêmes avons, durant l’été, observé un groupe touché par une cyberattaque de rançongiciel ayant exposé un système affecté par l’une de ces vulnérabilités, malgré des notifications et des relances durant plusieurs semaines. Et c’est sans compter avec les services RDP accessibles en ligne sans authentification sur la couche réseau (NLA). Autant de portes d’entrée sans même parler du hameçonnage.

Les attaques par ransomware actuelles, et plus généralement la cybercriminalité financière, empruntent largement aux APT, soulignait début février dans nos colonnes, Ivan Kwiatkowski des équipes de recherche et d’analyse de Kaspersky. Concrètement, cela veut dire que l’attaque s’étend largement en profondeur dans le système d’information, jusqu’à l’obtention de privilèges dignes d’un administrateur et donnant un accès très vaste aux données de l’entreprise compromise.

Pivoter d’une cible à l’autre

Cela fait émerger un premier risque : celui d’une propagation – immédiate ou postérieure – de l’attaque à des tiers extérieurs à la victime initiale, clients ou partenaires. Un lien entre la cyberattaque par Maze sur Xerox et HCL Technologies a été soupçonné, sans qu’aucun des deux intéressés ne souhaite commenter. Mais en 2019, la jeune pousse Huntress Labs détaillait trois incidents où les ordinateurs de clients de prestataires d’infogérance avaient été compromis par ransomware, via des outils d’administration à distance. Et cela ne s’arrête pas là.

Les données dérobées par les cyberdélinquants avant le déclenchement de leur rançongiciel peuvent être de véritables mines d’or pour de futures campagnes de hameçonnage hautement ciblé… et facilité par l’utilisation d’informations bien réelles glanées à l’occasion de la précédente attaque. Une seule liste de milliers d’adresses e-mail assorties de quelques éléments personnels supplémentaires peut déjà constituer un point de départ redoutable.

Mi-juillet, Brett Callow, chez Emsisoft, attirait notre attention sur un tel cas suspect : Nefilim a revendiqué une attaque sur Stadler en mai ; NetWalker en a revendiqué une sur Triniti Metro début juillet ; sur l’une des captures d’écran pour ce dernier figurait un dossier nommé… « Stadler letters ». Pour l’analyste, « de telles connexions apparaissent bien trop souvent pour n’être que des coïncidences ». Et cela même si NetWalker s’appuie sur des « partenaires » tandis que Nefilim fonctionnerait plutôt en vase clos. Car rien ne dit que l’un des partenaires de NetWalker ne s’est pas penché sur les données divulguées plus tôt par Nefilim pour les utiliser dans le cadre de l’attaque sur Triniti Metro…

Un espoir : la limitation des ressources disponibles

De nouveaux groupes de cyberdélinquant associant chiffrement et vol de données avec menace de divulgation pour soutenir leurs efforts d’extorsion sont récemment apparus. Mais la capacité des cyberdélinquants à exploiter toutes les pistes qu’ils obtiennent n’est pas illimitée. Les appels à « partenaires » sont réguliers sur les forums qu’ils fréquentent. Et les profils recherchés sont parfaitement d’un niveau de compétence élevé : même si les outils librement accessibles ne manquent pas, la phase de reconnaissance manuelle préalable au déploiement et à la détonation du rançongiciel nécessite une expertise certaine. Toutefois, rien n’assure que certains spécialistes des étapes intermédiaires des attaques n’interviennent pas pour différents groupes.

Reste que toutes ces pistes n’ont manifestement pas à être exploitées sur le champ : la lenteur de nombreuses organisations à fermer les portes d’entrée qu’elles laissent trop ouvertes sur Internet ne fait qu’aider les cyberdélinquants. Attention, donc : un répit peut donner une impression de recul de la menace tant en n’étant qu’une illusion. Et une chose apparaît sûre : l’heure n’est pas au relâchement de la vigilance.