Les ransomwares se suivent et se ressemblent un peu : l’Anssi a ainsi publié un rapport sur les menaces portant sur le ransomware CLOP, utilisé selon l’agence dans « plusieurs attaques en France. » Dans l’actualité récente, on a ainsi pu voir que le CHU de Rouen avait été visé par une cyberattaque présentant plusieurs caractéristiques d’une attaque utilisant cette souche de ransomware.
« Ces attaques semblent être le résultat d’une vaste campagne d’hameçonnage ayant eu lieu autour du 16 octobre 2019 et lier au groupe cybercriminel TA505 », explique l’agence en introduction de son rapport. La campagne d’hameçonnage initiale n’est « pas ciblée » selon l’agence, mais les attaquants ont recours à cette méthode pour prendre pied dans le système. Cette première opération de phishing permet aux attaquants de prendre le contrôle de plusieurs machines du réseau, mais ils préfèrent rester discrets dans un premier temps : le but pour eux est de prendre leurs marques sur le réseau de la cible avant de diffuser le ransomware. « Le rançongiciel étant dépourvu de fonctionnalités de propagation automatique, les attaquants s’attachent en premier lieu à se propager au sein du réseau de la victime à l’aide de plusieurs codes malveillants. »
Durant la première phase, les attaquants utilisent la porte dérobée « flawed Ammyy », un logiciel de prise de contrôle à distance, ainsi que l’outil Cobalt Strike, un logiciel utilisé par des entreprises de tests d’intrusion. Ils exploitent ces outils afin « d’acquérir des droits d’administration réseau afin de faciliter le déploiement du code de chiffrement sur l’ensemble du système d’information. »
publicité
Du ransomware propagé à la main
Le ransomware utilisé dans la phase finale de l’attaque est le ransomware CLOP, qui se reconnaît notamment grâce aux extensions de fichier en .Clop ou .CIop qui sont ajoutées aux fichiers chiffrés par le logiciel malveillant. Celui-ci est une variante de Cryptomix, modifiée pour complexifier sa détection par les programmes antivirus. Cette souche de logiciels a été détectée pour la première fois au mois de février 2019 par l’éditeur McAfee. Depuis, les attaques ayant recours à cette souche de virus se multiplient. Le code malveillant présente la particularité d’être signé numériquement, ce qui rend plus facile l’exécution du logiciel malveillant sur le système de la cible. Les auteurs du rapport notent que « le rançongiciel est souvent déployé en début ou veille de week-end et comporte une fonction de suppression des copies cachées Windows ».
Le groupe à l’origine de ces attaques est désigné sous le nom de TA505. L’Anssi retrace le parcours et les attaques passées ayant été associées à ce groupe, mais indique que les motivations de celui-ci sont principalement lucratives. Parmi leurs faits d’armes, TA505 est soupconné d’être à l’origine du ransomware Locky et du malware bancaire Dridex. Pour parvenir à leurs fins, le groupe a été observé en train d’utiliser des malwares bancaires, en train de dérober des propriétés intellectuelles et l’utilisation de ransomwares.
Pour limiter la casse, l’agence offre quelques recommandations : durcir les postes de travail en mettant en place par exemple des outils de contrôle de l’exécution des fichiers, prévoir un système de sauvegardes déconnectées du réseau et enfin renforcer la sécurité de l’active directory de l’entreprise. L’agence fait également remarquer que la diffusion du malware sur le réseau se fait de manière manuelle, via des comptes administrateur compromis : la surveillance de ces comptes peut donc permettre de détecter un comportement inhabituel. L’agence donne également une solution de dernier recours afin de bloquer une infection en cours via l’utilisation d’un mutex. Il s’agit néanmoins d’une solution « de dernier recours ».
Comments