Ransomware : passé par ici, il repassera par là

Les cas connus ne sont pas pléthore. Mais leur nombre a récemment progressé de manière préoccupante : des entreprises frappées avec deux rançongiciels distincts à quelques mois d’intervalle, sinon plus. TPI Corporation vient ainsi de faire son apparition sur le site vitrine où le gang Conti et ses affidés affichent les victimes qui leur résistent.

Mais ce n’est pas la première fois qu’une cyberattaque contre cette entreprise spécialisée dans la ventilation et le contrôle de la température est revendiquée de la sorte. En février dernier, elle avait ainsi fait son apparition sur le site vitrine des opérations de DarkSide. Mais selon les données d’Emsisoft, TPI Corp avait déjà été attaqué par un affidé de Maze au printemps 2020 !

Ce type de situation semble avoir tendance à être de moins en moins isolé. Mi-mai, une attaque conduite contre l’Allemand Seifert Logistics a ainsi été revendiquée par les mafieux de Conti. Ceux de Pysa étaient passés par là plusieurs mois avant, en septembre dernier.

Le logisticien allemand #Seifert avait été attaqué l’an dernier par #Pysa. Aujourd’hui, il est revendiqué par... #Conti. Ouch... #ransomware #CleanUp pic.twitter.com/PD07Vj3XT4

— Valéry Marchive (@ValeryMarchive) May 18, 2021

Début mai, c’est Lydall qui recevait les honneurs du site vitrine de REvil/Sodinokibi, à la suite d’une attaque survenue probablement au mois d’avril. Mais un échantillon du ransomware Darkside ayant fait surface à la fin de ce mois-là permettait d’accéder à une page dédiée du site vitrine de ce rançongiciel. Laquelle faisait référence à la date du 16 mars 2021.

Mi-mars, Kens Foods a été mis en vedette par ses attaquants œuvrant avec DarkSide. Et un peu plus tard, c’était au tour de ceux du groupe LV – qui utilise le rançongiciel de REvil, à savoir Sodinokibi. À ces exemples, il convient également d’ajouter Party Rental Ltd, dont le nom a été affiché successivement par Avaddon et Conti courant février/mars. Qu’est-ce qu’illustrent en fait ces cas ?

Duh! Almost failed to notice that #PartyRental also got hit twice this year, by #Avaddon and #Conti - likely around mi-/end- Feb. But the later grabbed considerably more data... #ransomware pic.twitter.com/04wyitpAgG

— Valéry Marchive (@ValeryMarchive) May 3, 2021

Brett Callow, analyste chez Emsisoft, nous expliquait récemment juger probable qu’il s’agisse d’un même attaquant, tentant sa chance une seconde fois, avec un autre ransomware, après avoir échoué une première fois à obtenir le paiement de la rançon. Et même qu’il utilise un ransomware sur une partie de l’infrastructure, et un autre sur le reste : « il y a beaucoup de cas avec deux chiffrements et deux demandes. Parfois, l’attaquant chiffre 50 systèmes avec X, et 50 autres avec Y, tout en utilisant la même extension, ce qui rend les choses très compliquées ».  

De fait, les programmes de ransomwares en mode service (RaaS) cachent une organisation de type franchise, où les opérateurs d’un programme – comme Conti, Avaddon, DarkSide, Sodinokibi, etc. – maintiennent une plateforme assortie de plusieurs services à des affidés, conduisant effectivement les attaques. Des mouvements d’attaquants passant d’un programme de RaaS à un autre ont déjà pu être observés.

Surtout, il serait naïf d’imaginer que les affidés n’essaient pas de se ménager les moyens de revenir dans le système d’information de victimes attaquées une première fois. Fin septembre 2020, un affidé de REvil nous avait ainsi montré ce qu’il disait être un extrait de données d’authentification dérobées à l’aide de Mimikatz, chez Elior, attaqué trois mois plus tôt. En somme, il s’était gardé les moyens de revenir, si tant est qu’un solide nettoyage en profondeur n’eût pas été effectué.

Ces efforts de persistance, combinés à une mobilité entre programmes de RaaS, permettent de comprendre comment des entreprises se font attaquer à l’aide de différents rançongiciels, à quelques mois d’intervalle. Mais cela souligne surtout l’importance de ne pas négliger l’investigation et le nettoyage de son environnement IT en cas d’attaque avec ransomware ; même lorsque l’on peut reprendre rapidement son activité sans céder au chantage, grâce à ses sauvegardes.