Nous voudrions donner plus de détails sur l’incident, mais jusqu’à présent, le Texas Department of Information Resources (TDIR) a très peu communiqué sur le sujet, à part que 22 départements (à l’origine 23, mais ce chiffre a été corrigé) ont été touchés.
Cela n’est peut-être pas surprenant : en effet, lorsqu’un ransomware visite 22 services d’un même État, le personnel de sécurité a probablement la lourde mission de rétablir rapidement les services.
Ce que nous savons, c’est que jusqu’à présent, deux victimes se sont manifestées : les villes de Borger et de Keene.
Le maire de Keene, Gary Heinrich, a déclaré à NPR que la demande de rançon s’élevait à 2,5 millions de dollars (environ 2,2 millions d’euros).
Henrich a indiqué qu’il s’agissait d’une attaque au niveau de la supply chain :
Ils sont entrés via notre fournisseur de logiciels, ceux qui gèrent nos systèmes informatiques. Au Texas, beaucoup de gens font appel à des fournisseurs pour le faire, car nous n’avons pas assez de ressources pour pouvoir gérer cela en interne.
Certains rapports indiquent que le ransomware utilisé était un type générique appelé “.JSE” (après l’extension qui ajoute des fichiers chiffrés), tandis qu’un autre pointe du doigt un ransomware appelé “Sodinokibi” (REvil), dont l’apparition a récemment été traitée par Sophos.
Naturellement, l’attaque était très ciblée :
À ce stade, les preuves réunies indiquent que les attaques venaient d’un seul acteur malveillant.
Peu importe ce qui s’est exactement passé récemment dans ces services, nous pouvons juste imaginer la gravité des événements en consultant la liste des agences américaines qui ont fait l’objet d’une vérification dans le communiqué de presse officiel du TDIR :
- Texas Department of Information Resources
- Texas Division of Emergency Management
- Texas Military Department
- Security Operations Center/Critical Incident Response Team au sein du Texas A&M University System
- Texas Division of Emergency Management
- Computer Information Technology and Electronic Crime (CITEC) Unit
Sans compter le département américain de la Sécurité Intérieure, la Federal Emergency Management Agency (FEMA) et le FBI.
Comment un type d’attaque qui, autrefois, ciblait des départements de police et des universités de manière isolée est devenu un problème capable de menacer des pans entiers du gouvernement d’un Etat et même, à plusieurs occasions, l’administration de villes entières ?
Épidémie d’extorsion
Alors que le gouvernement américain est loin d’être la seule cible de la cybercriminalité liée aux ransomwares, le grand nombre d’attaques visant ce secteur n’est pas dû au hasard.
En plus d’être l’un des plus grands gouvernements au monde, les États-Unis sont l’un des plus complexes. Ils regroupent un réseau d’administrations fédérales, par État, par ville, par comté, par municipalité et par canton, qui varient d’un État à l’autre.
Une telle complexité rend n’importe quelle défense, contre ces ransomwares en général sans pitié, intrinsèquement difficile. Les attaquants doivent uniquement trouver un système vulnérable dans un seul bureau. Une fois parvenues de l’autre côté des pare-feu, ces menaces peuvent facilement et rapidement se propager.
Frapper des organisations publiques est également astucieux : la pression publique pour faire redémarrer les systèmes est énorme, et les attaquants savent que cette contrainte leur est favorable.
Les chiffres concernant le Texas laissent entendre que jusqu’en 2019, les attaques de ransomware ont coûté 3,25 millions de dollars (environ 3 millions d’euros) à ses comtés, 2,5 millions de dollars (à peu près 2,25 millions d’euros) aux villes et 1,8 million de dollars (environ 1,6 millions d’euros) au secteur de l’éducation. Les ransomwares non déclarés pourraient avoir coûté 5 millions de dollars (environ 4.5 millions d’euros) supplémentaires (ces chiffres ne comprennent pas les conséquences néfastes pour les particuliers et les entreprises).
Et le Texas n’est pas le seul concerné. En juin, des écoles de Louisiane ont été ciblées, provoquant ainsi l’état d’urgence.
En mai, la ville de Baltimore a été touchée par une attaque qui a pu être facilitée, à priori, par les fameuses vulnérabilités d’EternalBlue.
Parmi les autres victimes, on compte le système judiciaire de Géorgie, une ville de Floride tellement affectée qu’elle a dû payer une rançon de 600 000 dollars (environ 535 000 €), ainsi que le Monroe College de New York.
Le mode opératoire
Ross McKerchar, CISO de Sophos, nous a expliqué comment se déroulaient ces types d’attaques.
Les acteurs malveillants montent en puissance avec des attaques coordonnées et planifiées, visant des gains plus importants plutôt que des attaques opportunistes et automatisées. C’est probablement une réaction face à l’amélioration de la protection contre les attaques entièrement automatisées.
Concernant ces attaques, Ross a expliqué :
- Qu’elles prennent plus de temps à se déployer : le temps nécessaire pour analyser le système à attaquer est plus long car les attaquants doivent se frayer un chemin à travers le réseau pour atteindre leurs cibles.
- Qu’il est plus difficile de se remettre de celles-ci : les attaquants ont tendance à avoir une bonne compréhension de l’entreprise et à rechercher les actifs à forte valeur. Ils prennent le temps de s’assurer que les sauvegardes sont également chiffrées et tentent d’obtenir un accès étendu à l’environnement, tel que l’administrateur de domaine, les rendant ainsi beaucoup plus difficiles à supprimer.
- Que le montant des rançons est bien réfléchi : dans certains cas, les attaquants accèdent même en premier aux systèmes financiers afin de savoir exactement combien l’entreprise peut se permettre de payer.
Comment se protéger contre les ransomwares
- Choisissez des mots de passe forts, et ne réutilisez jamais ces derniers.
- Faites des sauvegardes régulières. Elles pourraient bien être votre dernière ligne de défense contre une demande de rançon à six chiffres. Veillez à les garder hors site, à un endroit où les attaquants ne pourront pas les trouver.
- Patchez tôt, patchez souvent. Des ransomwares comme WannaCry et NotPetya s’appuient sur des vulnérabilités non corrigées pour se répandre dans le monde entier.
- Verrouillez le RDP. Des gangs cybercriminels exploitent des identifiants RDP faibles pour lancer des attaques ciblées de ransomware. Désactivez le RDP si vous n’en avez pas besoin et utilisez le limiteur de débit, le 2FA ou un VPN si vous en avez la possibilité.
- Utilisez une protection anti-ransomware. Sophos Intercept X et XG Firewall sont conçus pour fonctionner main dans la main afin de lutter contre les ransomwares et leurs effets dévastateurs. Les particuliers peuvent se protéger avec Sophos Home.
Billet inspiré de Ransomware disrupts 22 Texas government departments, sur Sophos nakedsecurity.