Cyber-attaque : le jour d’après - Retour d’expérience du CSIRT Advens

Cyber-attaque : le jour d’après - Retour d’expérience du CSIRT Advens

Cyber-attaque : le jour d’après - Retour d’expérience du CSIRT Advens

A l'occasion du FIC 2020, nous avons partagé un retour d'expérience de notre CSIRT.
Fin 2019, nos équipes sont intervenues pour assister un centre hospitalier victime du tristement célèbre malware EMOTET.

 

Quelques éléments de contexte

Comme de plus en plus souvent, l'organisation concernée n'avait rien de particulier pour devenir la cible d’une cyber-attaque.
Il s'agit d'un centre hospitalier de taille moyenne

  • 13 établissements,
  • 3000 employés,
  • 1500 lits,
  • 180 000 consultations par an.

 

Et le plus important dans notre cas : un SI qui regroupe environ 1900 endpoints (postes et serveurs).
Une démarche de sécurité avait été initiée lors de la mise en application du règlement européen sur les données à caractère personnel. Il s’agit en quelque sorte d’une organisation comme une autre, au niveau de maturité moyen… avec, comme tant d’autres, quelques lacunes en matière de protection et de capacité de détection

Retour sur Emotet

Tout a commencé par une suspicion d'infection virale. Le centre hospitalier a été contacté par une collectivité locale voisine, qui avait reçu des mails étranges émis depuis des boîtes mail de l'hôpital. Un des signes de contamination par Emotet (https://fr.malwarebytes.com/emotet/). Ce malware a d’abord ciblé les banques, puis ensuite le reste du monde. Redoutable et considéré comme l’un des plus destructeurs et des plus coûteux au monde, il présente toutes les caractéristiques d'une arme de destruction massive Cyber :

  • Propagation par mail
  • Exploitation de la faille EternalBlue
  • Mise à jour via C&C, détection des VM, plusieurs méthodes de persistance
  • Et surtout… polymorphe !

 Intervention du CSIRT Advens

L'équipe Advens intervenue sur site s'est très vite rendu compte qu'il ne s'agit pas d'une petite infection virale.

Les résultats de la première vague de nettoyage sont éloquents :

1768 virus différents ont été identifiés sur 1500 endpoints.
Et lors de la seconde vague, 650 variations persistantes d’Emotet ont été découvertes… avec en prime 3 serveurs présentant des backdoors actives.

 Pour celles et ceux qui ont eu à faire ce terrible malware, il est de notoriété publique qu’il est difficilement éradiquable par les solutions traditionnelles. La nature d’Emotet rend les solutions antivirales peu voire pas efficaces.

C’est pourquoi le CSIRT Advens a fait le choix de déployer un EDR dès la phase d’analyse. 2 objectifs :

  • Réaliser un état des lieux exhaustif
  • Comprendre ce dont a été victime le centre hospitalier.

 Le choix s’est porté sur la solution de Cybereason (partenaire clé d’Advens pour son offre d’EDR-as-a-Service). En 3 heures, 1 754 agents de l’EDR ont été déployés via SSCM, sans impact négatif identifié. Outre l’état des lieux, la solution a permis le nettoyage et a donné à la DSI une capacité d’analyse et de détection jusqu’alors inconnue !

Que retenir de tout cela ?

Comme après tout attaque contenue, il faut penser à la capitalisation, clé de voute de l'amélioration continue.

2 étapes dans ce processus :

  • Communiquer et partager sur les points forts et les points faibles.
  • Challenger les procédures en place en matière de gestion de crise et de résilience.

 Dans certains cas c’est aussi un levier pour repenser certaines des fondations de la sécurité du SI :

  • Durcir les systèmes de protections et les composants (Anti-Spam, Firewall, switching, serveurs et postes)
  • ‪‪Challenger l’architecture et la sécurité de l’Active Directory, un élément central qu’il faut parfois renforcer après un incident
  • ‪‪Envisager de « gros travaux » le cas échéant (segmentation, refonte de l’infrastructure réseau, etc.)

L’un des éléments les plus marquant pour l'organisation concernée aura été l’apport de l’EDR. De façon presque inattendue, c’est l’un des enseignements majeurs de la crise : l’apport de la technologie peut être décisif.
Et il aura été double. D’une part, l’EDR offre une capacité de détection renforcée. Et d’autre part, il propose une force de réaction et de remédiation. Dans ce cas précis, il a été question de nettoyer 78% du parc en quelques jours !

Pour en savoir plus

Retrouvez l’intégralité de notre FIC Talk en vidéo :

 

 

Benjamin Leroux, Innovation & Marketing, Advens