
Cyber-attaque : le jour d’après - Retour d’expérience du CSIRT Advens
A l'occasion du FIC 2020, nous avons partagé un retour d'expérience de notre CSIRT.
Fin 2019, nos équipes sont intervenues pour assister un centre hospitalier victime du tristement célèbre malware EMOTET.
Quelques éléments de contexte
Comme de plus en plus souvent, l'organisation concernée n'avait rien de particulier pour devenir la cible d’une cyber-attaque.
Il s'agit d'un centre hospitalier de taille moyenne
Et le plus important dans notre cas : un SI qui regroupe environ 1900 endpoints (postes et serveurs).
Une démarche de sécurité avait été initiée lors de la mise en application du règlement européen sur les données à caractère personnel. Il s’agit en quelque sorte d’une organisation comme une autre, au niveau de maturité moyen… avec, comme tant d’autres, quelques lacunes en matière de protection et de capacité de détection
Retour sur Emotet
Tout a commencé par une suspicion d'infection virale. Le centre hospitalier a été contacté par une collectivité locale voisine, qui avait reçu des mails étranges émis depuis des boîtes mail de l'hôpital. Un des signes de contamination par Emotet (https://fr.malwarebytes.com/emotet/). Ce malware a d’abord ciblé les banques, puis ensuite le reste du monde. Redoutable et considéré comme l’un des plus destructeurs et des plus coûteux au monde, il présente toutes les caractéristiques d'une arme de destruction massive Cyber :
Intervention du CSIRT Advens
L'équipe Advens intervenue sur site s'est très vite rendu compte qu'il ne s'agit pas d'une petite infection virale.
Les résultats de la première vague de nettoyage sont éloquents :
1768 virus différents ont été identifiés sur 1500 endpoints.
Et lors de la seconde vague, 650 variations persistantes d’Emotet ont été découvertes… avec en prime 3 serveurs présentant des backdoors actives.
Pour celles et ceux qui ont eu à faire ce terrible malware, il est de notoriété publique qu’il est difficilement éradiquable par les solutions traditionnelles. La nature d’Emotet rend les solutions antivirales peu voire pas efficaces.
C’est pourquoi le CSIRT Advens a fait le choix de déployer un EDR dès la phase d’analyse. 2 objectifs :
Le choix s’est porté sur la solution de Cybereason (partenaire clé d’Advens pour son offre d’EDR-as-a-Service). En 3 heures, 1 754 agents de l’EDR ont été déployés via SSCM, sans impact négatif identifié. Outre l’état des lieux, la solution a permis le nettoyage et a donné à la DSI une capacité d’analyse et de détection jusqu’alors inconnue !
Que retenir de tout cela ?
Comme après tout attaque contenue, il faut penser à la capitalisation, clé de voute de l'amélioration continue.
2 étapes dans ce processus :
Dans certains cas c’est aussi un levier pour repenser certaines des fondations de la sécurité du SI :
L’un des éléments les plus marquant pour l'organisation concernée aura été l’apport de l’EDR. De façon presque inattendue, c’est l’un des enseignements majeurs de la crise : l’apport de la technologie peut être décisif.
Et il aura été double. D’une part, l’EDR offre une capacité de détection renforcée. Et d’autre part, il propose une force de réaction et de remédiation. Dans ce cas précis, il a été question de nettoyer 78% du parc en quelques jours !
Pour en savoir plus
Retrouvez l’intégralité de notre FIC Talk en vidéo :