Ransomware : Egis a stoppé la cyberattaque dans sa phase finale

[Mise à jour, 9 février 2022 @17h45] Dans un courriel adressé à la rédaction Egis indique avoir « détecté une attaque de type ransomware le 25 janvier ». Selon le groupe d’ingénierie, ses « systèmes de protection ont joué leur rôle en bloquant l’attaque sur les équipements ». Mais l’attaque ne semble avoir été découverte que dans sa phase finale, celle du chiffrement : « grâce à l’EDR (Endpoint Detection and Response) et à la réactivité des équipes de notre DSI, les tentatives de chiffrement ont été circonscrites très rapidement, évitant une propagation sur le système d’information. Nous savons aujourd’hui que moins de 1 % de nos données ont été affectées ».

Cette précision sur la découverte de l’attaque et la circonscription rapide des « tentatives de chiffrement » laisse ouverte la question d’un éventuel vol de données préalable par les attaquants, et cela d’autant plus que la famille du rançongiciel impliqué n’a toujours pas été précisée. Egis indique ne pas avoir encore identifié le vecteur d’intrusion ni établi la date de l’intrusion initiale : « le forensic est en cours et nous devons attendre ses conclusions. Nous vous en dirons plus quand l’enquête sera terminée ». Si vol de données il y a eu, il apparaît dès lors possible que son étendue n’ait pas encore été établie. 

Le groupe explique en outre avoir « immédiatement mobilisé [sa] cellule de crise ainsi que [ses] prestataires en cybersécurité ». En outre, « nous avons contacté l’ensemble de nos collaborateurs afin de les informer des disruptions [sic], pour renforcer la vigilance et les rassurer sur la continuité des activités. Nous les remercions d’ailleurs pour leur engagement ». Par ailleurs, « des canaux de communication avec les CERT (Computer Emergency Response Team), nos clients et partenaires » ont été établis « pour qu’ils disposent des informations afin de se protéger mutuellement. Il n’y a ainsi pas eu de propagation de l’attaque ».

Toutefois, « par mesure de précaution, certaines applications ont été stoppées quelques jours pour vérifier leur intégrité ». Elles ont été relancées depuis. Ainsi, « l’effet sur les opérations a été limité et il n’a pas été nécessaire de mobiliser notre plan de continuité d’activité. Aujourd’hui nous sommes revenus à une exploitation normale. Tous les systèmes d’échanges d’information ont été évalués comme sûrs ».

Egis indique enfin avoir « encore renforcé les mesures de protection de [ses] données et de [ses] infrastructures informatiques, que ce soit par des messages de sensibilisation, des mesures techniques ou organisationnelles ». Et de souligner que « dans le contexte actuel de multiplication de ce type d’attaques dans tous les secteurs d’activités, ce scénario était identifié » : « s’il est difficile de totalement s’en prémunir, nos équipes de sécurité travaillent en permanence afin d’aligner nos mesures de protection face aux risques ».

[Article original, 8 février 2022] Selon nos informations, le groupe d’ingénierie français Egis est confronté à une cyberattaque depuis la fin du mois de janvier. Les marqueurs techniques suggèrent que l’intrusion initiale pourrait remonter milieu du mois dernier et avoir impliqué l’outil de maquillage du trafic réseau SystemBC, connu pour être notamment utilisé dans le cadre de cyberattaques avec ransomware.

Le service de presse d’Egis n’a pas répondu à nos sollicitations à l’heure de publication. Nous mettrons à jour cet article avec les éléments qui nous seront éventuellement communiqués par le groupe d’ingénierie français. À ce stade, celui-ci ne semble pas s’être exprimé publiquement sur l’incident.

Les marqueurs techniques à notre disposition font ressortir un nom de domaine vu par RiskIQ comme associé à une adresse IP entre le 15 et 20 janvier 2022. Ce nom de domaine semble avoir été taillé pour leurrer des clients de solutions Citrix, ou de potentiels prospects de ce dernier. L’adresse IP en question était quant à elle connue comme centre de commande et de contrôle pour Cobalt Strike – depuis le 20 janvier par Proactive Hunter de ThreatView.io ; et même le 17 janvier par Michael Koczwara et RedPacket Security.

Deux autres marqueurs techniques sont associés à des activités liées au maliciel mandataire SystemBC. L’un de ces marqueurs avait été vu dès mi-août 2021. Mi-novembre, un utilisateur de VirusTotal indiquait que l’adresse IP correspondante distribuait SystemBC. Le second marqueur est quant à lui connu comme lié aux activités impliquant SystemBC depuis deux mois.

Le système de maquillage du trafic réseau SystemBC a été écrit en russe et s’appuie sur TOR. Il est connu pour avoir été employé dans plusieurs cyberattaques ayant conduit au déploiement de ransomwares, et notamment celui de Conti, dont celle qui a frappé Colonial Pipeline outre-Atlantique, au printemps 2021.