Cyberextorsion : ces cyberattaques avec chiffrement, mais sans ransomware

À l’automne 2020, Thomas – un nom d’emprunt – racontait au MagIT la cyberattaque à laquelle son entreprise avait été récemment confrontée. Pour lui et ses collègues, tout avait commencé un matin, en semaine, un peu avant 8 h. Quelques sites de l’entreprise appelaient déjà, s’inquiétant de ne plus avoir accès à l’intranet. 

L’enquête est alors lancée : « je me suis aperçu que les serveurs DNS [internes] ne répondaient plus. En cherchant à y accéder, je me suis trouvé face à une page bleue de récupération BitLocker », racontait Thomas. Cette fonctionnalité native de Windows avait été détournée par les assaillants pour faire chanter son entreprise et tenter de l’extorquer. Le cas n’est pas isolé.

Arctic Wolf vient de revenir sur une attaque impliquant le groupe Lorenz : l’attaquant avait tenté d’activer le chiffrement de disque complet avec BitLocker. Cette approche avait déjà été observée précédemment, durant l’été 2022, toujours avec Lorenz.

Au mois d’avril précédent, le barreau de l’état américain de Géorgie avait lui aussi été confronté à une tentative de cyberextorsion impliquant l’activation de BitLocker. Les équipes du Français Synacktiv avaient quant à elles documenté un incident comparable fin janvier 2022. Les auteurs du blog DFIR Report avaient déjà fait de même à l’automne 2021.

Mais l’utilisation offensive de BitLocker n’est pas l’apanage de la cybercriminalité crapuleuse. Mi-mai 2022, Secureworks s’est ainsi penché sur des cyberattaques conduites par le groupe APT Cobalt Mirage, et exploitant BitLocker. Certaines activités de ce groupe ont été étiquetées Phosphorous. 

Début septembre dernier, c’était au tour de Microsoft d’alerter sur les activités offensives de DEV-0270, aussi appelé Nemesis Kitten, un sous-groupe de Phosphorous : là encore, BitLocker était détourné de sa finalité légitime. 

Plus récemment, l’agence américaine de la cybersécurité et de la sécurité des infrastructures, la Cisa, a attribué des activités de cyberextorsion avec BitLocker à la Corée du Nord.

Mais BitLocker n’est pas la seule fonctionnalité légitime de Windows susceptible d’être retournée par des attaquants contre leurs victimes. En janvier 2020, Amit Klein, vice-président de SafeBreach en charge de la recherche sur la sécurité, se penchait sur le détournement d’EFS pour produire un ransomware. 

Cette fonctionnalité réservée aux clients professionnels et entreprises de Windows permet de chiffrer sélectivement des fichiers et dossiers précis. 

Testant avec succès un démonstrateur contre trois solutions de protection des postes de travail et des serveurs, SafeBreach avait, avant de publier ses travaux, pris contact avec 17 éditeurs additionnels. La plupart ont pris les dispositions nécessaires fin 2019 afin de pouvoir détecter et prévenir de telles activités malveillantes.