Cybersécurité : après l’attaque, la difficile reconstruction

Des interdépendances contraignantes

Cela commence par pouvoir accéder aux sauvegardes. Car il n’est manifestement pas si rare que les serveurs de sauvegarde aient été eux-mêmes chiffrés. Là, « on a les cartouches de sauvegarde, mais on n’a plus le lecteur et l’index – ou le catalogue – qui permet de savoir où sont les données sur les sauvegardes », expliquait Gérôme Billois.

À ce stade, la question de savoir si l’on choisit de restaurer ou pas à partir d’elles, en fonction de l’ampleur supposée de la compromission, ne se pose donc même pas. Et pour reconstruire l’index des sauvegardes, « souvent, c’est plusieurs jours » de travail avec les outils disponibles sur site. Gérald Ferraro en a fait la douloureuse expérience.

Mais pour ne rien gâcher, « le serveur de sauvegarde est très souvent lui-même dépendant de l’annuaire » ; une mise à profit par les cybermalfaiteurs pour s’attaquer aux backups. Alors, pour Gérôme Billois, l’une des principales mesures à prendre avant un incident consiste « à s’assurer que les procédures de restauration peuvent être lancées, même dans une situation où il n’y a plus les fonctions de support classiques ». La question étant : « imaginons un cas où il n’y a plus rien ; combien de temps faut-il pour accéder à nouveau aux sauvegardes » ?

La part du doute

Mais dans un cas où l’on est amené à soupçonner une atteinte à l’intégrité de l’annuaire, la restauration apparaît bien difficile. « Dans un cas pareil, on repart d’une infrastructure de base, en réinstallant de zéro. Et on en profite pour appliquer les bonnes règles d’architecture Active Directory qui, bien souvent, ne l’étaient pas avant ». De là, il devient possible d’envisager de récupérer prudemment, en les nettoyant soigneusement si nécessaire, les données d’applications qui n’étaient pas la cible de l’attaque.

« En cas de compromission d’un serveur Exchange, il faut considérer de facto le risque de compromission du domaine, et même le fait que le risque soit remonté vers d’autres domaines via une forêt. »

Ce qui renvoie à la question, plus que délicate, de la finalité de l’attaque : « c’est l’action 0, ou presque, lorsque l’on arrive sur un incident cyber ; enquêter pour déterminer la finalité de l’attaque ». Car de celle-ci dépend la confiance que l’on pourra accorder au système d’information et aux sauvegardes.

Las, « il est très difficile d’avoir une certitude concernant la finalité de l’attaque ». Cela peut paraître paradoxal, mais de fait, si intercepter des assaillants avant (par exemple) qu’ils ne déclenchent un ransomware est une bonne nouvelle, déterminer alors leur véritable motivation et leurs objectifs peut s’avérer très difficile, voire impossible. L’analyse des marqueurs liés à l’infrastructure qu’ils ont utilisée dans le cadre de l’attaque peut toutefois aider à l’attribution. Mais quoi qu’il en soit, rappelait Gérôme Billois, « il faut bien que l’on avance, même en l’absence de certitude absolue ».

Pour Cyrille Barthelemy, PDG d’Intrinsec, c’est bien simple : « en cas de compromission d’un serveur Exchange, il faut considérer de facto le risque de compromission du domaine, et même le fait que le risque soit remonté vers d’autres domaines via une forêt ». Et là, les choses peuvent vite devenir très compliquées.

Un risque considérable

Pour lui, en de telles circonstances, il faut « prendre des mesures d’évaluation de la compromission », à savoir : « vérification des comptes à privilèges existants et créés, réinitialisation des mots de passe à privilèges, double réinitialisation des comptes Kerberos ». Mais attention : « c’est un sujet complexe et d’expert » et mieux vaut « se faire accompagner en l’absence d’expertise en interne ».

Cyrille Barthelemy ajoute d’autres opérations comme « auditer l’Active Directory en utilisant déjà des outils comme PingCastle ou Alsid », et « investiguer sur les serveurs concernés – infrastructure Exchange, contrôleurs de domaine, etc. » En fonction des résultats de ces investigations, il convient de « considérer la nécessité de reconstruire une bulle de confiance avec un Active Directory neuf ». Une opération à laquelle beaucoup de victimes de ransomware n’ont, hélas, pas échappé.

Concernant le changement des mots de passe pour les comptes des utilisateurs, des administrateurs, ou encore les comptes applicatifs, face à la menace d’une attaque en cours… « j’ai surtout vu des gens faire en urgence des choses considérées comme impossibles précédemment. Parce qu’il n’y avait pas d’autres choix ».

« Beaucoup d’organisations ont accumulé une dette technique importante au fil des ans et progressivement perdu le contrôle de tout ou partie des comptes techniques. »

Reste que les vraies difficultés se cristallisent généralement sur les comptes de service, ceux qui ne sont pas liés à des utilisateurs humains. Et, explique Laurent Besset, directeur Cyberdéfense d’I-Tracing : « ce n’est pas un problème d’outils, car il y a presque 10 ans que certaines solutions de coffre-fort disposent de fonctionnalités permettant de gérer le stockage et le renouvellement des comptes machine-to-machine » ; « beaucoup d’organisations ont accumulé une dette technique importante au fil des ans et progressivement perdu le contrôle de tout ou partie des comptes techniques ».

Un indispensable nettoyage rigoureux

Las, si ce travail de nettoyage méthodique n’est pas réalisé, la victime s’expose au risque d’être attaquée à nouveau, potentiellement par le même groupe de cybermalfaiteurs, même si un rançongiciel différent est utilisé.

Les cas connus ne sont pas nombreux. Mais début juin, TPI Corporation a fait son apparition sur le site vitrine où le gang Conti et ses affidés affichent les victimes qui refusent de leur céder. Au mois de février 2021, le nom de cette entreprise avait été affiché sur le site vitrine des opérations de DarkSide. Mais selon les données d’Emsisoft, TPI Corporation avait déjà été attaqué par un affidé de Maze au printemps 2020 !

Mi-mai, une attaque conduite contre l’Allemand Seifert Logistics a été revendiquée par les mafieux de Conti. Ceux de Pysa étaient passés par là plusieurs mois avant, en septembre 2020.

Début mai, c’est Lydall qui recevait les honneurs du site vitrine de REvil/Sodinokibi, à la suite d’une attaque survenue probablement au mois d’avril. Mais un échantillon du ransomware DarkSide, ayant fait surface à la fin de ce mois-là, permettait d’accéder à une page dédiée du site vitrine de ce rançongiciel. Laquelle faisait référence à la date du 16 mars 2021.

Mi-mars justement, Kens Foods a été mis en vedette par ses attaquants œuvrant avec DarkSide. Et un peu plus tard, c’était au tour de ceux du groupe LV. À ces exemples, il convient également d’ajouter Party Rental Ltd, dont le nom a été affiché successivement par Avaddon et Conti au début de l’année.

Interrogé au printemps sur ce sujet, Brett Callow, analyste chez Emsisoft, nous expliquait juger probable qu’il s’agisse d’un même attaquant, tentant sa chance une seconde fois, avec un autre ransomware, après avoir échoué une première fois à obtenir le paiement de la rançon. Ce qui implique que l’assaillant se soit ménagé des accès dont la persistance est vraisemblablement due à un travail de nettoyage insuffisant.