Microsoft considère que la menace des rançongiciels est toujours persistante dans le secteur de la santé

Alors que la crise internationale liée au COVID-19 se poursuit, l’équipe Threat Protection Intelligence de Microsoft indique que de nombreuses attaques ont ciblé en avril les acteurs clés de la lutte contre le virus, tels que des organisations médicales, des fournisseurs de matériel ou des organisations gouvernementales. Un grand nombre de ces attaques partagent des points communs dans leurs méthodes à commencer par la façon dont les attaquants accèdent au système de la victime. 

Pour le mois d’avril 2020, la plupart des attaques par rançongiciel ont pu être menées grâce à un accès via un système exposé sur Internet. En temps normal, les rançongiciels sont souvent déployés une heure après la compromission du système à partir de techniques de hameçonnage. Ici, nous avons des cas ou des groupes d’attaquants qui ont obtenu un accès à un réseau plusieurs mois à l’avance et attendent le bon moment pour l’exploiter. Cet accès se fait souvent via ces vulnérabilités :

  • des entrées par RDP ou Virtual Desktop non protégées par une authentification à multiples facteurs ;

  • des plateformes ayant atteint la fin de leur support et qui ne bénéficient plus de correctifs de sécurité, comme par exemple Windows Server 2008 ;

  • des serveurs mal configurés ;

  • des systèmes Citrix ADC affectés par la CVE-2019-19781 ;

  • des systèmes Pulse Secure VPN affectés par la CVE-2019-11510.

Il faut savoir que suite à une première attaque, les attaquants vont généralement vouloir garder un ou plusieurs points d’accès au réseau victime. Cela peut leur servir suite au paiement de la rançon ou la reconstruction du système d’information. Il est donc vital pour les organisations de repérer ces failles et de les corriger. L’utilisation de scanner d’interfaces publiques tel que shodan.io permet d’identifier les éventuelles failles présentes sur ses systèmes exposés sur Internet.

Suite à l’accès initial, les tactiques utilisées pour le déploiement d’un rançongiciel sont relativement similaires et diffèrent uniquement dans les outils ou vulnérabilités utilisées. Il est possible de les séquencer de la manière suivante :

  • accès initial ;

  • vol d’identifiants ;

  • mouvement latéral ;

  • persistence ;

  • déploiement de la charge active. 

Les charges actives (ou payload) sont variées et constituent une sorte de signature pour les groupes d’attaquants. Microsoft en a listé et décrit six d’entre eux : RobbinHood, Maze, PonyFinal, Valet loader, REvil et NetWalker. Leurs effets peuvent être destructeurs et paralyser entièrement une organisation. Que faire alors lors d’une attaque avérée? 

Il est conseillé de prioriser l’investigation et la remédiation dans ces cas-là. Les terminaux affectés doivent être analysés ainsi que les comptes utilisateurs liés à ceux-ci. En cas de compromission, les terminaux doivent être immédiatement isolés du réseau. 

Pour l’investigation, ces comportements malveillants typiques d’une attaque par rançongiciel peuvent être intéressants à observer :

  • l’utilisation de PowerShell malveillants, Cobalt Strike ou tout autre outil de test de pénétration pouvant faire penser à des activités classiques de “Red Team” ;

  • des activités de vol d’identifiants comme par exemple un accès au LSASS (Local Security Authority Subsystem Service) ;

  • des modifications de registres ; 

  • des modifications de journaux d’événements ; 

Il est important de regarder les événements dans leur globalité et ne pas se concentrer uniquement sur des indicateurs de compromission. Les campagnes de rançongiciels sont adaptatives et suite à une première attaque, les groupes d’attaquants ont souvent suffisamment d’informations pour pouvoir évaluer les capacités de détection de leur cible. Une analyse des comportements et des tactiques malveillants donnera plus d’informations et peut permettre à une organisation de se préparer plus efficacement à une autre attaque.

Au vu de la dangerosité et des impacts que peuvent avoir les rançongiciels, Microsoft rappelle quelques bonnes pratiques d’hygiène informatique :

  • rendre aléatoires les mots de passe pour les comptes d’administration locaux ;

  • appliquer une politique de blocage de comptes ;

  • appliquer le plus vite possible les patchs de sécurité liés aux systèmes exposés ;

  • utiliser les pare-feux des terminaux pour limiter les mouvements latéraux, par exemple pour bloquer le port TCP 445 ;

  • suivre les guides de sécurité pour les différentes applications ou logiciels utilisés comme par exemple pour Office et Office 365 ;

Des conseils supplémentaires peuvent être trouvés dans ce guide de Microsoft. Une liste exhaustive des règles d’hygiène informatiques est disponible dans le guide d’hygiène informatique de l’ANSSI.