Cyberattaque sur Software AG : un éclairage supplémentaire

0
132

Voici quelques informations et quelques éclairages supplémentaires sur l’attaque qui a infecté Software AG, issus de Christophe Lambert, Directeur Technique Grands Comptes EMEA chez Cohesity, spécialiste de la gestion, l’exploitation et la protection des données informatiques.

Le malware qui a infecté Software AG utilise la même souche de ransomware qui avait paralysé le CHU de Rouen en fin d’année dernière. Même avec la meilleure sécurité, il reste difficile de se prémunir de ce genre d’attaque, mais les pistes d’atténuation existent aussi bien au niveau de l’environnement de production que des environnements de sauvegarde des données. Les actions de propagation au sein du système d’information et en amont même du déploiement du ransomware Clop étant réalisées manuellement à l’aide de comptes administrateurs de domaine, il est recommandé de réduire le nombre de ces derniers et de vérifier en temps réel leur comportement et tout particulièrement la mise en place de règles de déploiement de codes sur le réseau.

En cas d’attaque et pendant le chiffrement, l’ANSSI recommande également en tout dernier recours l’exécution d’un script de création de mutex sur les machines encore saines. En effet, Clop s’assure que la machine sur laquelle il se trouve n’a pas déjà été chiffrée en vérifiant la présence d’un « mutex » sur celle-ci. S’il est présent, le ransomware ne s’exécute pas. Ce type d’automatisation peut aussi être envisagé à partir de systèmes en dehors de l’environnement de production en lui-même. Il est par exemple possible d’utiliser les données de sauvegarde pour évaluer la posture de sécurité et les vulnérabilités en temps réel.

En examinant les taux de changement, les augmentations du volume de stockage/de sauvegarde, il devient possible de remédier aux vulnérabilités connues dès la zone de transit des données pour assurer la restauration complète des données les plus récentes, tout en évitant de réinstaller un éventuel cheval de Troie dissimulé dans les données de restauration.

Il est important de noter que si ces méthodes permettent de limiter l’impact sur la production en bloquant le malware ou en restaurant rapidement les services essentiels, ils ne mettent pas les entreprises à l’abri de la breachstortion, nouveau levier dans l’attirail des cybercriminels qui consiste à menacer publiquement – preuve à l’appui – que l’entreprise a été piratée et, en prime, que les données subtilisées seront revendues sur le Darknet. Pour autant, même dans ce cas il est essentiel de ne pas se laisser tenter de payer la rançon : rien ne garantit que les données ne seront pas divulguées par ailleurs et ce choix incite les criminels à redoubler d’efforts. »