Rapport de l’ANSSI : L’erreur humaine pour cible dans les campagnes de ransomware

0
100

Suite à la publication du rapport de l’ANSSI sur la menace ransomware CLOP, veuillez trouver ci-dessous le commentaire de Christophe Lambert, directeur technique de Cohesity.

Dans un rapport publié en fin de semaine dernière, l’ANSSI alerte les entreprises et les administrations sur le ransomware CLOP. La deuxième partie de ce rapport donne des éléments de contexte et confirme que ces attaques, loin de l’image du hacker nihiliste et antisystème popularisée dans les fictions, sont organisées par des groupes dont le gain financier est le principal moteur. C’est bien le goût du lucre et non la déstabilisation d’un ordre établi qui motive les cybercriminels. Certains groupes comme TA505, mis en cause dans la propagation de CLOP, sont prolifiques et ont déjà à leur actif plusieurs attaques fructueuses.

Aux Etat-Unis, la prise en compte de ce type d’attaques par les assurances au titre de “catastrophes” favorise un retour sur investissement garanti. Si elles soulagent les organisations qui y souscrivent, elles confortent le ransomware dans sa position d’outil idéal des cybercriminels en quête d’argent facile. On peut donc supposer que nous ne sommes qu’au début de la vague et que de nombreux concurents, de plus en plus professionnalisés se lanceront bientôt à l’assaut des systèmes d’information du monde entier pour conquérir le “marché” qui s’ouvre à eux.

L’autre “détail” important du rapport est la description de la méthode d’infection de CLOP. “Le ransomware semble être majoritairement distribué au travers de campagnes d’hameçonnage, qui n’apparaissent pas ciblées, mais plutôt massives”. L’hameçonnage est une technique qui consiste à envoyer des emails aux personnes d’une organisation afin de tenter d’obtenir des informations confidentielles soit ayant une valeur immédiate (ex: données stratégiques, codes bancaires), soit permettant d’ouvrir une brèche dans le système d’information (ex: identifiants d’accès machines, mots de passe de boîtes mail)

Ce qu’il faut retenir, c’est que le succès de ces attaques repose largement sur l’erreur humaine, ce qui sous-entend que ces attaques ne sont jamais totalement inévitables et que les organisations doivent se préparer à être touchées. Elles doivent avoir des procédures de reprise après incident solides et efficaces.

Très logiquement, l’ANSSI recommande donc l’utilisation de solutions de sauvegardes et particulièrement celles capables d’isoler complètement les données de production des copies de secours. On ne peut que confirmer cette recommandation.

Il est impératif d’accompagner ces efforts de protection des données sur le plan technique par une approche humaine. Les employés qui ne sont pas formés aux bonnes pratiques en matière de sécurité sont une une menace pour la sécurité des systèmes et des données. Des formations simples doivent apprendre à tous les membres d’une organisation à gérer ses mots de passe, détecter les sollicitations frauduleuses par email et éviter le piratage de son poste. Ces formations doivent être actualisées alors que les menaces évoluent.

Ci-dessous, le commentaire de Loïc Guézo, Directeur, Stratégie Cybersécurité pour SEMEA chez Proofpoint :

“La cyberattaque à l’encontre du CHU de Rouen est le dernier incident en date d’une série d’attaques par ransomware ciblant plusieurs hôpitaux à travers le Monde, avec des cas également signalés aux US et en Australie. Ces attaques sont paralysantes pour les hôpitaux, qui se voient contraints de refuser des patients, d’annuler des chirurgies ou comme dans le cas évoqué, de revenir au papier/crayon pour continuer à travailler. Ces attaques, comme de nombreuses autres relayées dans les médias, diffèrent significativement des attaques de grande ampleur visant à obtenir des rançons peu élevées, qui ont été distribuées un peu au hasard en 2016 et 2017. Désormais, la tendance consiste plutôt à infecter un réseau avec des malware plus discrets, plus robustes et plus versatiles, susceptibles d’être dans un deuxième temps les vecteurs d’une infection de type ransomware visant les équipements dont les attaquants pensent que le chiffrement peut s’avérer rémunérateur.”

TA505 a suivi une évolution similaire ces dernières années, passant de campagnes massives de ransomware et de chevaux de Troie bancaires à des campagnes régionales ciblées et à une selection de malware, incluant des téléchargeurs et des chevaux de Troie à distance (RATs), plus sophistiqués. Les observations de Proofpoint ont permis de montrer que TA505 avait recours à diverses tactiques pour passer au travers des filtres traditionnels censés bloquer les malware, et ainsi parvenir à infecter les utilisateurs et les organisations visés. En réalité, la plupart ne se rendent même pas compte qu’ils ont été piratés jusqu’à ce que l’auteur décide d’installer un malware supplémentaire, dérobant les identifiants de connexion ou lançant d’autres attaques puissantes et destructrices à la veille d’un week-end par exemple … »