La cible était un institut européen de recherche biomoléculaire impliqué dans la recherche liée au COVID-19 ainsi que dans d’autres activités liées aux sciences de la vie. L’institut a des partenariats étroits avec les universités locales et travaille avec des étudiants sur divers programmes.
L’attaque du ransomware Ryuk a coûté à l’institut une semaine de données de recherche vitales, car même s’il disposait de sauvegardes, ces dernières n’étaient pas entièrement à jour. Il y a eu un impact opérationnel supplémentaire lorsque tous les fichiers présents sur les ordinateurs et les serveurs ont dû être reconstruits à partir de zéro, avant que les données ne puissent être véritablement restaurées. Cependant, le constat le plus dur à accepter a été de découvrir que l’attaque, et son impact, auraient pu être évités avec une approche moins permissive et plus robuste au niveau de l’accès au réseau.
Une fois qu’un cyber-incident a été maîtrisé, l’équipe Rapid Response utilise les logs et l’historique des données disponible pour retracer les actions lancées par les attaquants et les outils et techniques utilisés à chaque étape. Dans notre cas, les experts de l’équipe Rapid Response ont constaté que les adversaires avaient obtenu un accès au domaine et l’avaient utilisé pour déployer le ransomware Ryuk via une série de tâches planifiées. Ce n’est que lorsqu’ils sont remontés jusqu’au point d’accès initial qu’ils ont réalisé que leur investigation les avait conduits hors du réseau de l’entreprise, au niveau d’une erreur humaine isolée associée à une mauvaise appréciation en matière de sécurité.
L’erreur humaine peut survenir dans n’importe quelle entreprise; la raison pour laquelle l’erreur a pu évoluer vers une attaque à part entière était que l’institut ne disposait pas d’une protection en place pour gérer cette erreur. Cette vulnérabilité majeure provenait directement de son approche qui consistait à permettre aux personnes extérieures à l’organisation d’accéder au réseau. Les étudiants qui travaillent avec l’institut utilisent leur ordinateur personnel pour accéder au réseau de ce dernier. Ils peuvent se connecter au réseau via des sessions Citrix distantes sans avoir besoin d’une authentification à deux facteurs.
L’institut a été exposé au moment où l’un de ces étudiants universitaires externes a apparemment décidé qu’il voulait une copie personnelle d’un outil logiciel de visualisation de données qu’ils utilisaient déjà pour ses travaux. Une licence mono-utilisateur était susceptible de lui coûter des centaines d’euros par an, il a donc posté une question sur un forum de recherche en ligne demandant si quelqu’un connaissait une alternative gratuite (l’équipe Rapid Response l’a découvert lorsque l’étudiant en question a remis son ordinateur portable pour analyse, après avoir mieux cerné l’ampleur de l’incident).
Lorsque l’élève n’a pas pu trouver une version gratuite appropriée, il a recherché une version “craquée” à la place. Il a alors trouvé ce qui semblait en être une et a essayé de l’installer. Cependant, le fichier était en fait un véritable malware et la tentative d’installation a immédiatement déclenché une alerte de sécurité au niveau de Windows Defender. L’utilisateur a désactivé Windows Defender, et en parallèle, il semble qu’il ait également désactivé son pare-feu, et a essayé à nouveau. Cette fois, l’installation a fonctionné.
Cependant, au lieu d’avoir installé une copie craquée de l’outil de visualisation qu’il recherchait, l’étudiant a obtenu à la place un voleur d’informations malveillant qui, une fois installé, a commencé à enregistrer ses frappes sur le clavier, à voler les données du navigateur, des cookies et du presse-papiers, etc. Ensuite, à un moment donné en cours de route, il a apparemment également trouvé les identifiants de l’étudiant permettant d’accéder au réseau de l’institut.
Treize jours plus tard, une connexion RDP (Remote Desktop Protocol) a été enregistrée au niveau du réseau de l’institut à l’aide des identifiants de l’étudiant en question. Il provenait d’un ordinateur nommé “Totoro”, un nom sans doute inspiré du film d’animation japonais éponyme.
Une caractéristique du RDP est qu’une connexion déclenche également l’installation automatique d’un pilote d’imprimante, permettant aux utilisateurs d’imprimer des documents à distance. Cette particularité a permis à l’équipe d’investigation Rapid Response de voir que la connexion RDP enregistrée impliquait un pilote d’imprimante en langue russe et était probablement une connexion non autorisée. Dix jours après cette connexion, le ransomware Ryuk a été lancé.
“Il est peu probable que les opérateurs derrière ce malware de type ‘logiciel piraté‘ soient les mêmes que ceux qui ont lancé l’attaque du ransomware Ryuk“, a déclaré Peter Mackenzie, manager de Rapid Response chez Sophos. “Le marché underground concernant les réseaux ayant été compromis et offrant aux attaquants un accès initial facile est en plein essor, nous pensons donc que les opérateurs de malwares ont vendu leur accès à un autre attaquant. La connexion RDP aurait donc pu provenir de ces vendeurs/brokers d’identifiants testant leur accès”.
“Les investigations d’incidents sont cruciales car elles nous permettent de voir comment une attaque s’est déroulée et aident les cibles à comprendre et à combler de futures lacunes en matière de sécurité. Dans ce cas, la mise en œuvre d’une authentification réseau et de contrôles d’accès robustes, combinée à la formation des utilisateurs finaux, aurait pu empêcher cette attaque de se produire. Cet incident nous rappelle à quel point il est important de bien maîtriser les bases de la sécurité”.
Recommandations
Sophos recommande de prendre les mesures suivantes pour aider à se protéger contre les abus d’accès réseau :
- Activez l’authentification multifacteur (MFA), dans la mesure du possible, pour toute personne devant accéder aux réseaux internes, notamment les collaborateurs et partenaires externes.
- Mettez en place une politique de mot de passe solide pour toutes les personnes devant accéder aux réseaux internes.
- Mettez hors service et/ou mettez à niveau tous les systèmes d’exploitation et applications non pris en charge.
- Vérifiez et installez le logiciel de sécurité sur tous les ordinateurs.
- Examinez et installez régulièrement les derniers correctifs logiciels sur tous les ordinateurs, et vérifiez qu’ils ont été correctement installés.
- Passez en revue l’utilisation des serveurs proxy et vérifiez régulièrement les politiques de sécurité pour empêcher l’accès à des sites Web malveillants et/ou le téléchargement de fichiers malveillants par quiconque sur le réseau.
- Verrouillez l’accès RDP du bureau distant avec des règles LAN (Local Area Network) statiques, via une stratégie/politique de groupe ou en utilisant des listes de contrôle d’accès.
- Mettez en œuvre une séparation pour tout accès au réseau, notamment pour les LAN (ou envisagez d’utiliser des LAN virtuels) et, si nécessaire, utilisez des listes de contrôle d’accès matériel/logiciel (hardware/software).
- Examiner en permanence les comptes de domaine et les ordinateurs, en supprimant ceux qui sont inutilisés ou inutiles.
- Vérifiez les configurations du pare-feu et ne whitelistez que le trafic vers des destinations connues.
- Limitez l’utilisation des comptes admin par différents utilisateurs, car une telle possibilité encourage le partage d’identifiants qui pourraient introduire de nombreuses autres vulnérabilités de sécurité.
Si vous êtes confronté à une menace active et avez besoin d’une assistance immédiate, veuillez contacter Sophos Rapid Response pour obtenir de l’aide.
Un merci tout particulier à Bill Kearney, Kyle Link, Peter Mackenzie et Matthew Sharf, pour avoir répondu à et investigué cet incident.
Billet inspiré de MTR in Real Time: Pirates pave way for Ryuk ransomware, sur le Blog Sophos.