Comment fonctionne le ransomware utilisé dans l’attaque en cours depuis quelques heures ? Comment s’en prémunir ?

Dans le même esprit que wanacryptor, petya utilise une vulnérabilité Microsoft Windows affectant les systèmes de XP à 2008 sur le port TCP 445.
Le patch existe : MS17-010
Son exploitation est facilitée par la fuite de la boite à outil de la NSA il y a quelques mois. C’est ici encore l’exploit ETERNALBLUE modifié qui est utilisé, mais pas seulement !
Petya embarque un outil du type mimikatz lui permettant de récupérer les identifiants/passes locaux de la machine puis les transmet à PsExec ou WMIC pour se propager au sein du réseau.
Vous comprendrez aisément qu’une unique machine ayant des droits d’administration sur le réseau, permet dès lors l’infection complète et massive de l’ensemble des systèmes qu’elle peut administrer.

Une fois installé, le ransomware attend entre 10 et 60 minutes pour rebooter la machine infectée, via schtasks ou simplement shutdown.exe.

Au boot, il chiffre la table MFT des partitions NTFS puis réécrit le MBR avec une note particulière sur l’infection et le moyen de payer la rançon.

Peut-on déchiffrer les fichiers ?
Je crains fort que non, le malware utilisant les standards de chiffrement fort :

– Une clé AES de 128b est générée de manière unique pour chiffrer les fichiers.
– Cette clé est elle-même chiffrée par une clé publique RSA 2048b.

Quelques recommandations pour se prémunir de ce type d’attaques:

  • Utilisez un antivirus robuste intégrant une technologie de sandboxing (Sophos, Trend Micro, Kaspersky)
  • Configurez vos environnements Microsoft avec les mises à jour automatiques. A défaut, patchez la vulnérabilité MS17-010.
  • N’ouvrez pas les pièces jointes d’expéditeurs inconnus
  • Assurez vos sauvegardes en ayant une copie offline

 

Pour les experts sécurité, les patterns YARA pour cette version de ransomware sont les suivantes :

$a1 = “MIIBCgKCAQEAxP/VqKc0yLe9JhVqFMQGwUITO6WpXWnKSNQAYT0O65Cr8PjIQInTeHkXEjfO2n2JmURWV/uHB0ZrlQ/wcYJBwLhQ9EqJ3iDqmN19Oo7NtyEUmbYmopcq+YLIBZzQ2ZTK0A2DtX4GRKxEEFLCy7vP12EYOPXknVy/+mf0JFWixz29QiTf5oLu15wVLONCuEibGaNNpgq+CXsPwfITDbDDmdrRIiUEUw6o3pt5pNOskfOJbMan2TZu” fullword wide
$a2 = “.3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls” fullword wide
$a3 = “DESTROY ALL OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED” fullword ascii
$a4 = “1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX” fullword ascii
$a5 = “wowsmith123456@posteo.net.” fullword wide
condition:
(uint16(0) == 0x5A4D) and
(filesize<1000000) and
(any of them)
}

CRYPTOLOCKER : MENACE INCONTOURNABLE OU INDICATEUR DU MANQUE D’ORGANISATION DES ENTREPRISES ?

crypto

 

Il faut reconnaître que les cryptolockers et autres ransomwares (dridex, teslacrypt, locky, jigsaw) ont le mérite de réveiller les DSI en pointant par la sanction immédiate les manquements parfois élémentaires en matière de sécurité des systèmes d’information.

La justification récurrente consiste à accabler l’utilisateur ayant malencontreusement ouvert depuis sa boite mail une pièce-jointe malicieuse ou cliqué sur un lien dangereux. Certes l’utilisateur est intrinsèquement en cause mais, au final, il convient d’admettre qu’il est instrumentalisé par des techniques qui le dépassent.

Je renvoie donc la balle aux DSI et plus largement aux Entreprises.

Les parades aux cryptolockers et ransomwares se basent sur un cocktail de dispositifs techniques à positionner en amont et en aval des utilisateurs, doublés de sensibilisations récurrentes et de communications appuyées sur les thématiques de la sécurité.

Précisons également qu’une stratégie de sauvegarde et de restauration bien maîtrisée relègue les infections à cryptolocker au rang d’incidents mineurs dans la vie de l’Entreprise.

Il convient donc d’établir un plan de protection permettant :

* La prévention des risques d’introduction des malwares au sein de l’organisation

* La prévention des risques d’infection et de propagation

* La prévention des risques liés aux méthodes d’ingénierie sociale

* La restauration des environnements de production impactés en cas d’infection

Pour plus de détails, je vous invite à la lecture de ce document.

 

L’INGÉNIERIE SOCIALE OU L’EXPLOITATION DU POTENTIEL HUMAIN

se

 

L’Ingénierie Sociale (Social Engineering, SE) décrit les méthodes de manipulation des individus au sein d’une Organisation pour contourner les sécurités techniques du Système d’Information et réussir à entrer logiquement ou physiquement au sein de cette Organisation ou Entreprise.

Elle repose sur les différents comportements qu’adoptent les utilisateurs dans l’usage numérique de leur entreprise :

  • Mots de passe faibles ou prédictibles

Prénoms des enfants, date de naissance du chien, numéro de département….

  • Crédulité exacerbée

Divulgue des informations au téléphone à un interlocuteur dont l’identité est usurpée

  • Défaut de compréhension des mécanismes techniques

Macro Office activée, installation de logiciels inconnus aux apparence trompeuses (faux antivirus gratuits par ex.)

 

Mais l’ingénierie sociale nécessite également d’avoir préalablement bien cerné les types de populations que l’on va vouloir tromper.

  • Les services RH

Ne résistent jamais à la tentation d’ouvrir un CV au format DOC/DOCX puisque cela relève pleinement de leur mission…

  • Les ouvriers postés en usine

N’osent jamais venir interpeller un inconnu lorsque celui-ci est en costume 3 pièces alors qu’il ère non-accompagné sur le site…

  • Les cadres

Ne retireront jamais les informations importantes de leurs profils LinkedIn puisque cela les positionne ou les valorise…

 

L’unique parade aux diverses situations scénarisées par les attaquants demeure la sensibilisation de l’ensemble du personnel constitutif de l’Organisation.

La sensibilisation peut se traduire par des actions de type :

  • Serious gaming (mise en situation réelle)
  • Campagne d’ingénierie mail & web par une société spécialisée en audit des SI
  • Session de sensibilisation en présentiel
  • Vidéos et E-learning

ISO 27001 – EST-IL INDISPENSABLE DE SE FAIRE CERTIFIER ?

iso

 

Notre département Conseil est régulièrement sollicité par les Organisations qui entreprennent une démarche Sécurité de leur Système d’Information.

Cette démarche est – à juste titre – associée au référentiel ISO 27001, dont les exigences, une fois satisfaites, permettent la formalisation de procédures et la valorisation d’indicateurs de sécurité.

Bien que certifiés Lead Auditor ISO27001, Lead Implementor ISO27001 et CISA, nos consultants ne poussent pas à la certification, loin de là ! Et je m’en explique.

  • La norme ISO27001 définit un cadre de management de la sécurité du système d’information.
  • Il s’agit d’une norme Qualité, adossée à l’IT.
  • La suivre ou l’implémenter est bénéfique et structurant pour toute organisation.
  • Elle permet un alignement de l’IT sur les métiers de l’Entreprise et impose aux différents services de communiquer entre eux.

Cependant, il faut se poser les bonnes questions avant de déclamer haut et fort : « Faisons de la sécu, passons la certif ISO27001 ! »

La première d’entre-elles consiste à comprendre les motivations d’une telle ambition. Le terme n’est pas emphatique, puisque l’implémentation réussie d’un tel référentiel nécessite un investissement financier et humain conséquent, sur une durée de 3 à 5 ans en moyenne.

Quel est donc le facteur déclencheur ?

  • Incident ?
  • Changement de Direction Générale ou de DSI ?
  • Impulsion par le Groupe ?
  • Besoin business ?

L’incident de sécurité pousse De Facto les entreprises victimes à se remettre en cause et à revoir le modèle de surveillance et de contrôle de ses actifs. Il est générateur de stress et de précipitation et ne permet pas le recul nécessaire à une bonne appréhension de la démarche.

Le changement de DG ou DSI autorise la prise de recul par rapport aux méthodologies de gestion ayant cours au sein de l’Organisation et s’accompagne généralement de projets marquants pour l’Entreprise. La mise en œuvre de démarches structurantes en fait partie.

L’impulsion par la Direction d’un Groupe international à destination de ses entités nationales représente une situation ambiguë pour ces filiales, alors contraintes et embarquées sur une mer agitée, le plus souvent sans boussole ni compas….

Enfin, le besoin business, est certainement le facteur déclenchant le plus sain. Il est issu d’un constat de la Direction Générale quant à sa capacité à pénétrer des marchés ou à en être exclu, à défaut de pouvoir justifier de pratiques rigoureuses en matière de protection de l’information que l’Entreprise traite.

Ce constat mûrit une réflexion sans précipitation et évalue la pertinence d’une démarche d’implémentation d’un référentiel impliquant tel que l’ISO 27001, et ce avec l’ensemble des parties prenantes à ce type de projet.

 

Est-il dès lors indispensable de se faire certifier pour faire de la sécurité ?

La certification n’est que le constat externe d’une démarche aboutie et de processus maîtrisés, mais n’empêche pas, dans les faits, une entité non-certifiée d’avoir un niveau de sécurité techniquement plus performant qu’une entreprise certifiée. Elle est souvent, à tort, perçue comme un gage de haut niveau de sécurisation.

La mise en œuvre et le maintien d’une certification est contraignante et chronophage, quelques exemples :

Qui doit être décisionnaire ?

Qui pour être : Initiateur actif, porteur du projet, promoteur évangéliste de la sécurité dans une démarche où la résistance au changement prendra corps au travers de coups de gueule vindicatifs, de mesquineries geekesques, de shadow IT et autres tentatives de contournement et d’évitement des procédures alors mises en œuvre par un Comité Sécurité dépassé par la charge que représente cette mission….

Un projet ISO27001 doit être porté par la Direction Générale et relayé au sein de chaque service par un porteur de projet convaincu et bon communiquant.

Il convient de faire comprendre les enjeux de la sécurité à l’ensemble des collaborateurs et non pas d’aligner des mesures et des procédures à coup de 49.3.

Qui doit être partie prenante ?

PDCA : Planifier, déployer, Contrôler, Améliorer encore et encore.

Cette charge doit-elle et peut-elle additionner aux missions déjà inscrites sur les fiches de postes des collaborateurs choisis pour entreprendre la démarche ? Faut-il embaucher des nouveaux collaborateurs pour suppléer aux principaux acteurs ?

Quels coûts ?

Il faut prendre en compte les coûts humains, les coûts des projets IT techniques, les coûts de sensibilisation/formation,  les coûts des consultants amenés à vous aider sur l’implémentation et les contrôles des procédures. (Analyse de risques, plan d’actions, audits sécurité, rédaction et formalisation, audit de certification)

En résumé

Il me semble important que chaque organisation ou entreprise initie une démarche de sécurité de ses systèmes d’information. L’ISO27001 est un guide structurant sans contrainte majeure lorsque celui-ci est appliqué au fur et à mesure de la vie de l’entreprise.

La première phase consiste en une analyse macro des processus de gestion de la sécurité de l’entreprise, soit organisationnelle (sur la base ISO 27002) soit technique (Tests d’intrusion par exemple).

L’un de nos clients nous a dit un jour : « La certification ISO27001, ce sera la cerise sur le gâteau, une fois que tout sera fait pour de vrai ».

CQFD !