Ransomware : l’illusion d’un système d’information assaini

La métropole Aix-Marseille-Provence en a fait l’amère expérience récemment : une attaque de rançongiciel peut être maîtrisée sans que la situation ne soit pleinement sous contrôle. Les données volées par les opérateurs de Pysa, à l’occasion de la cyberattaque du mois de mars, ont été divulguées… début septembre. L’entreprise de services numériques indo-américaine Artech vient quant à elle de montrer qu’une attaque peut paraître maîtrisée, sans que son système d’information ne soit véritablement assaini.

Artech est en fait la première entreprise dont les opérateurs de Revil/Sodinokibi divulguaient des données volées après une compromission réussie. C’était au mois de janvier : ils publiaient les liens vers plus de 300 Mo de données selon eux dérobées par leurs soins, rapportaient alors nos confrères de Bleeping Computer.

Artech, qui communique assez peu, comme le montre la liste de ses communiqués de presse sur les quatre dernières années, a attendu le 4 septembre pour reconnaître officiellement l’incident. Dans une « notification », l’ESN explique avoir reçu le 8 janvier « un rapport d’activité inhabituelle relatif au compte utilisateur » de l’un de ses employés. Et d’assurer avoir « immédiatement commencé à enquêter ». Un processus qui, selon l’ESN, a mené à « l’identification d’un ransomware sur certains de [ses] systèmes ».

L’intervention d’un tiers spécialisé a permis de déterminer, le 15 janvier, qu’un « acteur non autorisé avait accédé à certains systèmes d’Artech entre le 5 et le 8 janvier 2020 ». L’ESN explique alors avoir « mené un examen complet de ces systèmes » pour déterminer qu’il y avait eu accès à des données personnelles. Selon Artech, cet examen a été finalisé… le 25 juin dernier, soit plus de 5 mois après le début de l’incident.

Troy Mursh, de Bad Packets, souligne qu’Artech a exposé « pendant des mois et des mois » un serveur VPN Pulse Secure affecté par la vulnérabilité CVE-2019-11510. Selon les données de Shodan, le serveur concerné était encore affecté tout début janvier 2020.

L’histoire aurait pu s’arrêter là, si les opérateurs de Maze ne revendiquaient, depuis ce week-end, à leur tour, la compromission d’Artech, diffusant au passage près de 1,5 Go de données compressées volées à l’occasion. Que s’est-il donc passé ?

Un autre système laissé vulnérable et à côté duquel les équipes d’Artech seraient passées n’est pas à exclure. Mais il peut y avoir encore plus simple. Brett Callow, analyste chez Emsisoft avance ainsi une hypothèse : « que l’affilié [à Revil] responsable de la première attaque se soit laissé une porte d’entrée dans le réseau et ait alors donné accès à un autre groupe ».

L’hypothèse n’apparaît pas, en soi, saugrenue. C’est désormais bien connu : lorsque détone le ransomware, les assaillants sont confortablement installés en profondeur dans le système d’information, d’où les enjeux souvent considérables de la reconstruction.