Entrez dans les coulisses de notre CERT pour revivre une intervention complète sur une attaque par ransomware. David Quesada, directeur du CERT Advens, détaille les étapes de réponse à incident de notre Computer Emergency Response Team. Interview exclusive !
Qu’est-ce qu’une attaque par rançongiciel ?
Une attaque par ransomware (ou rançongiciel) consiste à envoyer à une cible un logiciel malveillant qui, une fois enclenché, chiffre les fichiers et toutes les données du système d’information où il est déployé. Une rançon est alors demandée en échange d’une clé de déchiffrement.
Quels sont les signes avant coureur d’une attaque par ransomware ?
Il y a des signaux faibles, mais les détecter est difficile.
Le but de l’attaquant est de passer inaperçu le plus longtemps possible. Une fois infiltré dans un système informatique, il peut attendre des mois avant de déclencher son attaque. Ce qui peut nous mettre la puce à l’oreille sont des comportements anormaux, comme par exemple des actions pendant la nuit ou des transferts réseaux inhabituels.
Que se passe-t-il dès que l’attaque est révélée au grand jour ?
Les outils informatiques ne répondent plus ou fonctionnent anormalement. L’utilisateur observe des comportements inattendus sur son poste de travail, comme un logiciel qui ne marche plus, un fond d’écran qui change d’aspect… Puis apparaît un fichier texte, souvent intitulé « Read me » qui contient le message type fatidique « Nous avons chiffré vos données, veuillez appeler tel numéro pour les récupérer contre la somme de XX € ».
1 à 3 jours
C’est le délai habituel d’envoi d’une demande de rançon (LegiFrance).
Faut-il prendre contact avec l’attaquant ?
Je déconseille de contacter l’attaquant directement et de s’engager dans la négociation pour payer la rançon. Vous ne gagnerez pas forcément de temps et vous n’avez aucune garantie que l’attaquant vous redonne l’accès à vos données.
Mais chaque minute compte, et si un utilisateur découvre l’attaque, il faut immédiatement lancer l’alerte auprès de l’équipe cybersécurité ou à défaut au support IT et ne surtout pas traiter l’incident soi-même.
Quelles sont les premières étapes du mode opératoire du CERT Advens en cas d’attaque par ransomware ?
La phase d’identification du problème se déroule en plusieurs étapes : ce sont en quelque sorte les « gestes de premiers secours ».
Notre CERT réalise d’abord une première qualification par téléphone pour analyser l’étendue des dégâts, comprendre les actions qui ont déjà été réalisées, puis transmettre, via une adresse e-mail de secours, les actions prioritaires à déployer en attendant l’arrivée de l’équipe sur place.
Notre équipe se rend le plus vite possible chez le commanditaire, idéalement en 24h sur le territoire français. Pendant ce temps, il doit réaliser de son côté toutes les actions priorisées :
- Ses équipes techniques se préparent pour reconstruire un SI sain en continuant l’inventaire des dégâts : elles isolent totalement le SI d’internet, déconnectent l’Active Directory pour éviter la progression de l’attaquant, sauvegardent les données pas encore chiffrées par malware…
- En même temps, le management se met en ordre de marche pour appliquer le plan de gestion de crise (s’il existe), ce qui peut aller jusqu’à l’application d’un plan de continuité d’activité : qu’est-ce qui est touché, comment, pourquoi, quels impacts des données chiffrées ? Quels services doivent absolument rester actifs ?
Une fois sur place, nous allons cartographier les dégâts et identifier les premières actions à effectuer dans les deux ou trois premiers jours.
Le CERT réalise son investigation en profondeur : il vérifie à quel pourcentage les SI sont impactés et identifie le point de départ de l’attaque. Pour gagner en efficacité et en rapidité, le CERT peut être amené à déployer un EDR. On peut ensuite redémarrer certains postes ou serveurs clés et spécifiques qui vont être directement protégés pour reprendre une activité tout en étant fortement supervisé.
En parallèle, nous accompagnons les équipes du client sur la communication interne et externe à adopter.
Au sein d’Advens, une équipe de « pompiers volontaires » peut prendre le relais pour apporter des compétences supplémentaires ou complémentaires. Par exemple, certains sont déjà intervenus pour prendre la parole devant les médias.
En quoi consiste les actions de la phase « contenir et remédier » ?
Après une semaine d’investigation, nous créons ce que l’on appelle un cœur de confiance*.
Qu’est-ce qu’un cœur de confiance ?
Zone informatique 100 % sécurisée, elle permet de remonter une infrastructure informatique saine. Tout ce qui est à l’intérieur a été vérifié, on sait qu’à cet endroit il n’y a pas l’attaquant et qu’il ne peut pas y rentrer, grâce à l’isolation de tous les autres postes avant de leur réintégration dans ce cœur de confiance.
Le challenge de ce cœur de confiance ? N’y faire entrer que des pans du SI totalement sécurisés. Pendant la crise, l’attaque peut se poursuivre, l’attaquant peut la faire évoluer… ou de nouvelles vulnérabilités peuvent être découvertes. Il faut donc allier prudence et agilité pour réussir les travaux de confinement et de reconstruction.
En parallèle, le CERT Advens continue son accompagnement. Nous activons ou nous prenons part à la cellule de crise de l’organisation victime de l’attaque. Cela nous permet de garder un lien avec le client et de partager l’avancée de nos analyses. Une fois la reconstruction suffisamment avancée, il devient envisageable de redémarrer les services impactés. En contact très rapproché avec la direction, nous déterminons alors quelle fonction métier doit être remise en état en priorité.
À ce stade, deux cas de figure sont possibles :
- Un BIA (Business Impact Analysis) a déjà été prévu, ce qui peut nous faire gagner du temps car il permet de savoir quel service/quelle application doit être redémarré en premier, puis les autres par ordre de priorité.
- Rien n’a été anticipé : nous aidons l’entreprise victime à identifier les priorités de redémarrage d’activité, ce qui peut faire perdre beaucoup de temps.
Comment agissez-vous pour restaurer le SI et rendre le commanditaire autonome ?
Nous commençons ensuite la phase de reconstruction du SI. Cela peut prendre de 4 à 6 semaines voire plusieurs mois parfois.
Une fois le SI restauré et opérationnel, l’équipe du CERT va petit à petit se retirer, mais d’autres services d’Advens vont entrer en jeu selon le plan d’action prévu, comme la mise en place d’un SOC supervisé, le maintien en conditions de sécurité, la définition de nouvelles procédures ou la formation et la sensibilisation.
Au terme de l’intervention du CERT, nous réalisons un rapport d’intervention, contenant les investigations numériques réalisées par le CERT, un chronographe de ce qu’il s’est passé pendant la réponse à incident, un schéma d’attaque et des conclusions générales et techniques desquelles découle un plan d’action.
Le commanditaire reprend ensuite la main sur la finalisation de la remédiation, accompagné ou non de certaines équipes d’Advens hors CERT, puis sur la restauration de son activité.
Retrouvez la synthèse du CERT Advens
Dans ce rapport, vous découvrirez entre autres les vulnérabilités les plus exploitées, les tactiques de compromissions les plus employées en 2022.
Un grand merci à David Quesada pour avoir partagé le mode opératoire du CERT Advens en cas d’attaque par ransomware. Pour rester informé de l’actualité, suivez les bulletins publiés par le CERT sur le site d’Advens.
