[Canada] Attaque simultanée d’un établissement de santé par deux groupes d’attaquants utilisant les rançongiciels Karma et Conti

Sophos, société spécialisée en sécurité informatique, a publié le 28 février 2022 un article à propos d’une attaque simultanée perpétrée par des groupes d’attaquants utilisant les rançongiciels Karma et Conti. L’article de Sophos explore différents aspects de cette double cyberattaque : l’accès initial, les scénarios d’attaques, l’exploitation de la faille ProxyShell, les scripts et indices de compromissions, ainsi que les conséquences. Cet article en propose la synthèse.

 

Contexte

Un établissement de santé situé au Canada a été victime d’une attaque simultanée par deux groupes d’attaquants opérant respectivement les rançongiciels Karma et Conti. La cyberattaque s’est déroulée au mois de décembre 2021, bien que les premiers indices de compromissions remontent au 10 aout de la même année. L’attaque a été simultanée, mais non coordonnée, ce qui signifie que les deux groupes d’attaquants n’étaient pas alliés dans leurs offensives respectives.

 

Accès initial

Le 10 aout 2021, un attaquant a réalisé une première pénétration du réseau informatique de l’établissement de santé en exploitant la faille ProxyShell. Selon Sophos, cet exploit a été réalisé par un cybercriminel spécialisé dans la commercialisation de pénétration de réseau (Initial Access Broker). La faille ProxyShell est le surnom attribué à un ensemble de vulnérabilités concernant le serveur Microsoft Exchange. Ces vulnérabilités sont situées dans le service d’accès client de Microsoft et permettent l’exécution de code arbitraire à distance. Plus précisément, l’attaquant a exploité les vulnérabilités suivantes : la CVE-2021-34473, la CVE-2021-34523 et la CVE-2021-31207. Après avoir accompli l’exploit, l’accès au réseau fut probablement mis en vente sur le marché noir. Les deux groupes d’attaquants opérant les rançongiciels Karma et Conti auraient acheté cet accès.

 

Karma, scénario d’attaque

Selon l’étude réalisée par Sophos, le premier groupe d’attaquant opérant le rançongiciel Karma aurait acheté l’accès pour l’utiliser le 29 aout. S’introduisant dans le réseau de l’établissement, le groupe a téléchargé des scripts malveillants provenant de trois serveurs localisés à des endroits différents : Iran, Russie et Honk Kong. Un compte administrateur est créé par les attaquants, celui-ci a été utilisé à plusieurs reprises au mois de novembre pour réaliser diverses actions malveillantes. Parmi ses actions, les attaquants ont établi une connexion avec un système distant qui permet le déploiement de balises Cobalt Strike (un outil – ici détourné – de simulation d’offensive). Le 2 décembre, les attaquants ont débuté l’exfiltration de 52 gigaoctets de données vers le site d’hébergement de fichier Mega. Le 3 décembre, la note de rançon a été présentée aux victimes. Les opérateurs de Karma ayant une certaine éthique, la note de rançon a précisé qu’aucun chiffrement ne fut réalisé en raison du domaine santé auquel appartient l’établissement ciblé. Le même jour, l’équipe d’expertise de Sophos arrive sur les lieux afin de répondre à l’incident. Alors que l’équipe réalise une évaluation de la situation, le rançongiciel Conti s’active et le chiffrement commence. La note de rançon du rançongiciel Karma est dès lors chiffrée par le rançongiciel Conti.

 

Conti, scénario d’attaque

Le second groupe d’attaquant opérant le rançongiciel Conti aurait lui aussi acheté l’accès pour l’utiliser le 25 novembre. Le 1er décembre, les attaquants ont utilisé un compte local d’administrateur pour installer des balises Cobalt Strike et effectuer un mouvement latéral pour explorer le reste du réseau de l’établissement. Le 2 décembre, les informations sensibles stockées par l’établissement sont identifiées par le groupe d’attaquant. Le jour d’après, le navigateur chrome et le compresseur de fichier WinRAR sont installés sur le serveur principal de l’établissement puis utilisés par les attaquants pour compresser et exfiltrer environ 10 gigaoctets de données sensibles vers le site d’hébergement de fichier Mega. Le même jour, trois fichiers sont téléchargés sur un serveur du réseau : 64.dll (le fichier du rançongiciel Coni), regsvr.exe (l’exécutable qui permet le chargement de Conti), et def.bat (un fichier bat contenant des commandes pour désactiver l’antivirus Windows Defender). Les attaquants opérant Conti ont aussi utilisé un script PowerShell pour identifier les logiciels de protections installés par l’établissement de santé. Les commandes utilisées par ce script sont connues par Sophos pour être activement utilisées par le rançongiciel Ryuk et Bazaar Backdoor.

 

Conséquences

  • L’absence de correctif pour les serveurs Microsoft Exchange a permis aux attaquants d’exploiter des vulnérabilités pour se frayer un premier chemin dans le réseau de l’établissement.

     
  • Étant donné que les serveurs de l’établissement n’avaient aucune protection, ces derniers ont été utilisés par les attaquants pour déployer et orchestrer leurs rançongiciels.

     
  • La protection antivirale n’était pas installée sur la grande majorité des postes de travail et la surveillance du réseau était incomplète. Les attaquants ont été en mesure d’accomplir plusieurs de leurs objectifs malveillants sans être détectés ni bloqués.

     
  • Seuls quelques systèmes informatiques de l’établissement étaient équipés de l’antivirus Sophos. Celui-ci a détecté la présence du rançongiciel Conti lors de l’offensive menée par le second groupe.

     
  • La majorité des données de l’établissement de santé ont été chiffrées par Conti, cela comprend aussi la note de rançon du rançongiciel Karma.

     
  • L’antivirus Sophos a détecté le rançongiciel Conti par analyse comportementale et signature en tant que Troj/Conti-C et Troj/Ransom-GLU. Conti a été bloqué sur les systèmes équipés de CryptoGuard. Le script activement utilisé par le rançongiciel Ryuk a été détecté par analyse comportementale en tant que em/bazarld-c, Mem/bazarld-d et Mem/conti-b.

     
  • Des indices de compromissions sont actuellement disponibles. Il s’agit des adresses IP, des SHA256 (algorithme de hachage sécurisé 256 bits), des fichiers et noms de domaines. Voir le lien en référence.