Qu’est-ce qu’une attaque par rançongiciel ?
Une attaque par ransomware (ou rançongiciel) consiste à envoyer à une cible un logiciel malveillant qui, une fois enclenché, chiffre les fichiers et toutes les données du système d’information où il est déployé. Une rançon est alors demandée en échange d’une clé de déchiffrement.
Quels sont les signes avant-coureur d’une attaque par ransomware ?
Il y a des signaux faibles, mais les détecter peut être difficile.
Le but de l’attaquant est de passer inaperçu le plus longtemps possible. Une fois infiltré dans un système informatique, il peut attendre des mois avant de déclencher son attaque ou le faire en quelques heures… Ce qui peut mettre la puce à l’oreille sont des comportements anormaux, comme des actions pendant la nuit (connexions, modifications, etc.) ou des transferts réseaux inhabituels.
Que se passe-t-il dès que l’attaque est révélée au grand jour ?
Les outils informatiques ne répondent plus ou fonctionnent anormalement. L’utilisateur observe des comportements inattendus sur son poste de travail, comme un logiciel qui ne marche plus, un fond d’écran qui change d’aspect… Puis apparaît un fichier texte, souvent intitulé « Read me.txt » qui contient un message type fatidique « Nous avons chiffré vos données, veuillez appeler tel numéro pour les récupérer contre la somme de XXX € ou XXX Bitcoin ».
1 à 3 jours
C’est le délai habituel d’envoi d’une demande de rançon (LegiFrance).
Faut-il prendre contact avec l’attaquant ?
Je déconseille de contacter l’attaquant directement et de s’engager dans la négociation pour payer la rançon. Vous ne gagnerez pas forcément de temps et vous n’avez aucune garantie que l’attaquant vous redonne l’accès à vos données.
Mais chaque minute compte, et si un utilisateur découvre l’attaque, il faut immédiatement lancer l’alerte auprès de l’équipe cybersécurité ou à défaut au support IT et ne surtout pas traiter l’incident soi-même.
Quelles sont les premières étapes du mode opératoire du CERT Advens en cas d’attaque par ransomware ?
La première phase de l’incident se déroule en plusieurs étapes : ce sont en quelque sorte les « gestes de premiers secours ».
Notre CERT réalise d’abord une première qualification par téléphone pour identifier l’étendue des dégâts, comprendre les actions réalisées ou en cours, puis transmettre, via une adresse électronique de secours, les actions prioritaires à réaliser en attendant l’arrivée de l’équipe sur place.
Notre équipe se rend le plus vite possible chez le commanditaire, idéalement en 24h sur le territoire français. Pendant ce temps, ce dernier doit réaliser de son côté toutes les actions priorisées :
- Ses équipes techniques réalisent les premières actions pour contenir l’attaque et limiter tant que faire se peut les dégâts : isolation d’internet, isolation des Active Directory, mise en sécurité des sauvegardes et des données pas encore chiffrées …
- Les équipes techniques prélèvent les éléments techniques d’intérêts avec les outils et procédures fournis afin de sauvegarder au plutôt les journaux et avoir un état au plus près de l’incident.
- En même temps, le management se met en ordre de marche pour appliquer le plan de gestion de crise (s’il existe), ce qui peut aller jusqu’à l’application d’un plan de continuité d’activité : qu’est-ce qui est touché, comment, pourquoi, quels impacts des données chiffrées ? Quels services doivent absolument rester actifs ?
Une fois sur place, nous allons cartographier les dégâts et identifier les actions à effectuer dans les deux ou trois premiers jours.
Le CERT réalise une investigation en profondeur : elle consiste dans l’analyse des prélèvements pour identifier le point de départ de l’attaque (si possible) et le niveau de pénétration de l’attaque. Pour gagner en efficacité et en rapidité, le CERT peut être amené à déployer un EDR. L’objectif de ce déploiement est double, protéger avec les indicateurs découverts et pouvoir détecter de nouveaux éléments propre à la compromission.
En parallèle, nous pouvons accompagner les équipes du client sur la communication interne et externe à adopter.
Au sein d’Advens, une équipe de « pompiers volontaires » peut prendre le relais pour apporter des compétences supplémentaires ou complémentaires. Par exemple, certains sont déjà intervenus pour prendre la parole devant les médias.
En quoi consiste les actions de la phase « contenir et remédier » ?
Après une semaine d’investigation, nous commençons à créer ce que l’on appelle un cœur de confiance*.
Qu’est-ce qu’un cœur de confiance ?
Zone informatique 100 % sécurisée, elle permet de remonter une infrastructure informatique saine. Tout ce qui est à l’intérieur a été vérifié, l’attaquant n’est pas dans cet endroit et ne peut pas y rentrer, grâce à l’isolation de tous les autres postes avant leur réintégration dans ce cœur de confiance.
Le challenge de ce cœur de confiance ? N’y faire entrer que des pans du SI totalement sécurisés et filtrés. Pendant la crise, l’attaque peut se poursuivre, l’attaquant peut faire évoluer ses techniques ou de nouvelles vulnérabilités peuvent être découvertes. Il faut allier prudence et agilité pour réussir les travaux de confinement et de reconstruction.
En parallèle, le CERT Advens continue son accompagnement. Nous activons ou nous prenons part à la cellule de crise de l’organisation victime de l’attaque. Cela nous permet de garder un lien avec le client et de partager l’avancée de nos analyses. Une fois la reconstruction suffisamment avancée, il devient envisageable de redémarrer les services impactés. En contact très rapproché avec la direction, nous déterminons alors quelle fonction métier doit être remise en état en priorité.
À ce stade, deux cas de figure sont possibles :
- Un BIA (Business Impact Analysis) a déjà été prévu, ce qui peut faire gagner du temps car il permet de savoir quel service / quelle application doit être redémarré en premier, puis les autres par ordre de priorité.
- Rien n’a été anticipé : nous aidons alors l’entreprise victime à identifier les priorités de redémarrage d’activité, ce qui peut faire perdre beaucoup de temps.
Comment agissez-vous pour restaurer le SI et rendre le commanditaire autonome ?
Nous commençons ensuite la phase de reconstruction du SI. Cela peut prendre de 4 à 6 semaines voire plusieurs mois en fonction de l’étendue des dégâts et des problématiques rencontrées.
Une fois les premiers éléments critiques du SI restaurés, l’équipe du CERT va petit à petit se retirer, mais d’autres services d’Advens peuvent entrer en jeu selon le plan d’actions prévu, comme la mise en place d’un SOC supervisé, le maintien en conditions de sécurité, la définition de nouvelles procédures ou la formation et la sensibilisation.
Au terme de l’intervention du CERT, un rapport d’intervention est rédigé, contenant les investigations numériques réalisées par le CERT, un chronographe de ce qu’il s’est passé pendant la réponse à incident, un schéma d’attaque et des conclusions générales et techniques desquelles découle un plan d’action.
Le commanditaire reprend ensuite la main sur la finalisation de la remédiation, accompagné ou non de certaines équipes d’Advens hors CERT, ainsi que sur la restauration de son activité. Le CERT reste disponible pour répondre aux questions sur le plan d’actions et le rapport.
Un grand merci à David Quesada pour avoir partagé le mode opératoire du CERT Advens en cas d’attaque par ransomware. Pour rester informé de l’actualité, suivez les bulletins publiés par le CERT sur le site d’Advens.
