Comment fonctionne le ransomware mespinoza ? Quel est le mode opératoire du groupe d’attaquants ? Quelles sont leurs revendications ?
Comment les attaquants récupèrent-ils les identifiants des serveurs RDP ? Comment la métropole aurait-elle pu empêcher cette intrusion ?
Que faire en cas d’attaque par ransomware ? Comment se protéger efficacement contre les ransomwares ? Que se passe t-il si vous payez la rançon ? L’ANSSI (l’Agence Nationale de la sécurité des systèmes d’information) a mis en garde les collectivités territoriales contre des attaques de pirates via des rançongiciels ou (ransomware (1) en anglais) comme celles qui ont visé plusieurs collectivités : les communes de Vincennes, Alfortville et Bondy, le conseil départemental d‘Eure-et-Loir, Charleville-Mézières, Mitry-Mory, la Région Grand Est, l’agglomération du Grand Cognac et les villes du sud de la France…
Dans cet article, nous allons nous intéresser à une cyberattaque massive qui s’est déroulée le samedi 14/03/2020 et qui a touché la Métropole Aix-Marseille-Provence et les Villes de Martigues, Marseille et Charleville-Mézières.
Il s’agissait d’une attaque d’un rançongiciel de type Mespinoza/Pysa. Ce rançongiciel produit des fichiers chiffrés avec une extension de type .pysa. C’est cette variante de Pysa qui a été utilisée lors de cette attaque par ransomware.
Le chiffrement a touché des serveurs à hauteur de 90%, il est accompagné d’un message de rançon. D’après ce que l’on sait, la Métropole n’a toujours pas rétabli la totalité de ses systèmes d’information.
Le fait de réaliser qu’il y avait une attaque a permis à l’équipe informatique de couper la connexion à Internet. Cette action a permis de préserver les sauvegardes et de faciliter la reprise en mode dégradé du SI. D’après un des RSSI de la métropole, tous les équipements qui ont été derrière les firewalls (cloisonnement réseau) n’ont pas été touchés par cette attaque, ce qui sous-entend que les attaquants se sont introduits dans le réseau de la métropole via des services exposés directement sur Internet.
Qui est le groupe Mespinoza, qui s’est attaqué à cette métropole Marseillaise ?
La première utilisation de ce ransomware Pyza remonte au mois d’octobre 2018.
Les techniques de ce groupe d’attaquants sont maintenant un peu mieux connues des chercheurs et des experts en cybersécurité.
Ce groupe a une particularité, il chiffre des équipements des mondes Windows et Linux. Les attaquants sont réputés pour leur utilisation de certains outils open source du type : Empire (2), Koadic (3), des scripts PowerShell, Inveigh (4), et un service RDP (5) de Windows pour se déplacer latéralement dans tout l’environnement de la Métropole Aix-Marseille-Provence.
Et si une entreprise ou une collectivité refuse de payer pour récupérer la clé de déchiffrement, que se passera-t-il ?
Dans ce cas, les attaquants disposent d’autres moyens de chantage et de pression sur leur victime :
- Les attaquants publient les données exfiltrées sur leur site Web pour les obliger à payer la rançon.
- Chantage par menace de divulgation à la CNIL – loi RGPD.
- Atteinte à la réputation de la victime.
Qu’en est-il au dans le cas où la victime consent à payer cette Rançon ?
Dès lors que la victime a payé cette rançon, quelques semaines après, les attaquants reviennent à la charge pour réclamer le paiement d’une deuxième rançon, sous peine d’une divulgation de cette attaque à la CNIL et d’une dénonciation à leurs clients, partenaires…
Comment les attaquants récupèrent-ils les identifiants des serveurs RDP ?
La plupart du temps, les attaquants récupèrent les identifiants de connexion des serveurs en se servant des attaques de phishing.
Les accès RDP compromis peuvent être achetés facilement sur le darknet pour quelques dizaines de dollars.
En utilisant un moteur de recherche tel que Shodan, les attaquants pourront lister les ports RDP ouverts sur internet, en exploitant une vulnérabilité affectant le service RDP via la CVE-2019-0708 BlueKeep sur Windows XP/Vista/ 7 et Windows Server 2003 / 2008 / 2008 R2 (vulnérabilité permettant d’exécuter du code à distance sur une machine vulnérable).
Revers de médaille pour la Métropole Aix-Marseille-Provence
Six mois après le déroulement du ransomware, exactement, le 28 août 2020, les attaquants se sont manifestés de nouveau avec une diffusion de 40 Go de données volées et exfiltrées (deux archives de 20 Go chacune sur le web (7)).
Parmi les données volées, on retrouve des documents financiers, RH, comptabilité, Notes de service, Mails, etc.
Cette fuite de données rentre dans le cadre de la loi RGPD, car beaucoup des contenus volés sont liés aux données privées et personnelles des élus, des agents et des administrés…
Comment la métropole de Marseille aurait-elle pu empêcher cette intrusion via des accès RDP ?
De plus en plus d’attaques par ransomware sont lancées par des attaquants ayant eu un accès au réseau de la victime en passant par des liens RDP exposés sur internet (70% à 80% des cas selon le FBI).
Cette attaque aurait pu être déjouée en mettant en place quelques solutions techniques, dont l’utilisation d’une solution d’authentification multi-facteurs (MFA) : si les attaquants volent votre mot de passe, ils ne pourront pas s’en servir.
Privilégiez un accès à travers un VPN (Virtual Private Network) plutôt qu’un accès direct par internet (le serveur RDP est protéger derrière un pare feu).
Au cas où vous seriez dans l’incapacité de mettre en place un VPN, essayez de filtrer les IP sources avec votre pare feu, ce qui vous évitera des attaques automatisées.
Evitez les mots de passe RDP qui sont faibles et qui peuvent être facilement devinés en utilisant des techniques par brute force.
Pour protéger RDP des attaques par brute force, nous vous conseillons d’activer une politique de verrouillage de compte en limitant le nombre de tentatives de connexion infructueuses pour chaque compte d’utilisateur de votre entreprise ou collectivité.
Si vous n’avez pas besoin du service RDP, il est judicieux de le désactiver sur les serveurs RDP (port par défaut 3389) ainsi que sur tous les ordinateurs de votre réseau.
Conseils pour se prémunir contre des attaques de ransomwares :
- Elaborez des plans de continuité d’activité (PCA) et de reprise d’activité (PRA).
- Mettez régulièrement à jour vos principaux logiciels et serveurs (patch management ou gestion de l’obsolescence).
- Effectuez des sauvegardes régulières de vos données critiques (bases de données métier, partages de fichiers réseaux, etc.).
- Utilisez des comptes administrateurs Active Directory (AD) dédiés et nominatifs pour garantir leur traçabilité.
- Sensibilisez et formez vos collaborateurs aux enjeux des risques cyber.
- Assurez un archivage des journaux d’évènements (Windows EventLogs, syslogs d’équipements réseaux, etc.).
- Installez un équipement de type EDR (Endpoint Detection & Response) comme solution pour une protection des points de terminaisons sur votre infra (stations, serveurs, mobiles, etc.).
- Effectuez des tests d’intrusion et des scanners de vulnérabilités sur vos réseaux.
- On ne peut que vous recommander de souscrire à une assurance cyber risque en cas d’une cyberattaque qui immobilisera votre production, et qui vous coûtera très cher en terme de finances. L’assurance pourra vous aider à prendre en charge les frais d’experts en cybersécurité qui vous accompagneront dans le processus de remédiation et le paiement des frais juridiques et de remise en service de votre SI. Elle vous aidera à mettre en place une stratégie de communication pour votre structure et procédera au paiement de la rançon exigée par les attaquants…
Les ransomwares sont devenus un vrai fléau pour notre société d’aujourd’hui, cela nous contraint à nous améliorer dans notre perception de la sécurité au quotidien.
Ces types d’attaques vont encore s’intensifier et se complexifier avec l’essor de l’intelligence artificielle, ainsi, les attaques deviendront de plus en plus sophistiquées et automatisées.
La ruée vers la donnée personnelle deviendra l’eldorado pour les malfrats de tous genres dans le cyberespace.
Nous devons nous préparer à nous défendre contre ce nouvel ennemi invisible et insaisissable, qui est tapi dans l’ombre, attendant le bon moment pour frapper et chiffrer nos données.
L’essor incroyable que prennent actuellement les objets connectés va encore donner des sueurs froides à toutes les équipes informatiques en charge de la sécurité des SI au quotidien.
Si vous avez besoin de conseils pour améliorer la sécurité de votre entreprise, iDNA et les équipes de cybersécurité d’AURA IT sont là pour vous épauler.
(1) : Un rançongiciel est un programme malveillant qui empêche la victime d’accéder au contenu des fichiers sur son ordinateur, le but étant de lui extorquer de l’argent via une monnaie virtuelle appelé bitcoin (intraçable).
(2) : Empire : Outil de post-exploitation qui est très utilisé par les pentesteurs et les attaquants.
(3) : Koadic, ou COM Command & Control, est un rootkit windows post-exploitation similaire à d’autres outils de test d’intrusion tels que Meterpreter et Powershell Empire.
(4) : Inveigh est un spoofer et un outil man-in-the-middle PowerShell ADIDNS/LLMNR/NBNS/mDNS/DNS, il est conçu pour aider les pentesteurs / Red Teamers qui se trouvent limités à un système Windows.
(5) : RDP : Remote Desktop Protocol (bureau à distance de Windows).
(6) : Etude sur Mespinoza /Pysa réalisée par le CERT–FR : https://www.cert.ssi.gouv.fr/uploads/CERTFR-2020-CTI-003.pdf
Lisez les DFIR Report qui est un excellent site pour connaître le fonctionnement d’un ransomware.
(7) : Pour plus d’information, voir le site de Zataz :
https://www.zataz.com/piratage-de-la-metropole-aix-marseille-provence-les-pirates-sont-de-retour/