Cyberattaque : rentrée sous le signe du ransomware Ryuk pour UniLaSalle

Il y a deux mois, Loïc Crampon, DSI d’UniLaSalle (un établissement d'enseignement supérieur privé d'intérêt général reconnu par l’État), commentait une publication de Gérôme Billois, directeur de la practice Cybersécurité de Wavestone, sur LinkedIn. Il s’agissait du récit, côté coulisses, de la cyberattaque subie par Ouest-France à l’automne dernier. Ludovic Bellenguez, consultant carrière d’UniLaSalle interpellait Loïc Crampon : « tu imagines un truc pareil à UniLaSalle ? » Lucide, le DSI répondait alors : « malheureusement, cela peut arriver à n’importe quelle entreprise ».

Loïc Crampon n’imaginait probablement pas à quel point cette réponse avait un côté prémonitoire. Car aujourd’hui, si le site Web de l’école d’ingénieur indique « accès limité aux services lignes », c’est parce qu’elle est à son tour confrontée à une cyberattaque.

Dans un e-mail adressé aux étudiants ainsi qu’aux enseignants d’UniLaSalle, Loïc Crampon expliquait ainsi, le 21 avril, que l’école subissait « une attaque informatique importante et plutôt grave (attaque de type ransomware/rançonnage avec cryptage [sic] de fichiers de manière massive) ciblant l’ensemble des campus […], attaque qui nous a obligés à couper tous les services ». Les campus de Beauvais, Rennes et Rouen étaient alors les plus affectés.

En l’espace de 15h, les équipes informatiques d’UniLaSalle ont toutefois pu relancer leur annuaire et les services d’authentification s’appuyant dessus – avec réinitialisation massive des mots de passe. De quoi permettre de reprendre « les cours en distanciel ». L’authentification était identifiée comme une priorité pour rendre accès aux services cloud, dont Microsoft 365 – incluant Teams et le courriel – et Moodle, ou encore aux applications sur serveurs Linux.

Mais tout n’était pas réglé pour autant. Le 22 avril, l’équipe informatique indiquait ainsi que « en raison des troubles importants occasionnés sur le réseau du campus, il est préférable de rester chez soi en télétravail pour les enseignants ». En outre, apprenait-on alors, « les examens en distanciel sont annulés jusqu’à nouvel ordre ». Quelques sites Web de l’école sont accessibles, mais plusieurs services normalement exposés sur Internet semblent encore injoignables. Cela vaut notamment, et sans trop de surprise, pour les services de poste de travail à distance (RDS) de Windows.

Dans un échange téléphonique, Loïc Crampon, explique que le chiffrement des serveurs Windows – une trentaine – a commencé dans la nuit du 20 au 21 avril, vers 1h du matin. C’est Ryuk qui a été déclenché. Le vecteur d’intrusion initial pourrait avoir été un courriel malicieux, contenant une pièce jointe vérolée. Mais les assaillants ont notamment mis à profit les services de déport d’affichage de Windows (RDP) pour se déplacer latéralement dans le système d’information, en s’appuyant initialement sur un compte utilisateur compromis.

Dans ce contexte, la migration vers Microsoft 365, finalisée il y a deux mois, a considérablement aidé à la remise en route des services les plus critiques. D’autant plus que les sauvegardes ont été chiffrées par les attaquants – ce qui n’est malheureusement pas un cas isolé. Les serveurs Linux n’ont pas été touchés.

La rapidité de la reprise, pour les services critiques, est à mettre sur le compte de la récupération de l’annuaire. Qui fait toutefois l’objet d’un nettoyage en profondeur. Si l’épreuve est difficile, Loïc Crampon et ses équipes n’en saisissent pas moins une opportunité : revoir toute la segmentation réseau ; une opération délicate à conduire lorsque le système informatique est en conditions opérationnelles nominales.

À ce stade de la remédiation, le DSI a déjà un conseil : « interdire adfind et désactiver psexec sur l’environnement ». Le premier peut être utilisé dans la phase de déplacement latéral après l’intrusion initiale. Quant au second, l’Agence nationale de la sécurité des systèmes d’information (Anssi) l’évoquait notamment dans sa note d’information consacrée à Ryuk et mise à jour fin février : il peut être utilisé pour la distribution de la charge utile finale, à savoir le rançongiciel en lui-même.