Il n’y a jamais de bon moment pour qu’une entreprise soit victime d’une attaque par ransomware. Pourtant, Matthew Day, DSI d’une entreprise en Australie nommée Langs Building Supplies, a reçu un appel téléphonique au pire moment possible, le 20 mai 2021 : avant l’aube, juste au moment où il s’apprêtait à prendre congé pour la première fois depuis longtemps.
« J’allais partir en vacances. Mais j’ai reçu un coup de fil à quatre heures du matin, me disant en gros : Je ne peux pas me connecter, que se passe-t-il ? », raconte-t-il.
Matthew Day s’est levé et a fait le trajet de 30 minutes pour se rendre à son bureau de Brisbane, en Australie, où est basée l’entreprise spécialisée dans les matériaux de construction, tout en réfléchissant à ce que pouvait être le problème, peut-être une défaillance matérielle ou une panne imprévue ?
La réponse est vite devenue évidente quand il est arrivé et a essayé de faire fonctionner les systèmes : une note de rançon est apparue, disant « Vous avez été piraté. »
Une rançon de 15 millions de dollars en bitcoins
L’entreprise avait été victime du ransomware Lorenz et les cybercriminels, qui avaient chiffré plusieurs serveurs et des milliers de fichiers, exigeaient un paiement de 15 millions de dollars en bitcoins en échange de la clé de déchiffrement. Comme dans de nombreuses attaques par ransomware, les cybercriminels ont également déclaré avoir volé des informations et menacé de les divulguer si la rançon n’était pas payée.
« En réalité, c’est une proposition plutôt effrayante, mais nous avons rapidement pu isoler l’attaque et la déconnecter du réseau », explique Matthew Day.
Il soupçonne que Langs a été spécifiquement ciblé par les criminels à l’origine de l’attaque en raison de la nature de son activité. À l’époque, le gouvernement du Queensland mettait en œuvre un plan d’intervention visant à maintenir l’activité des secteurs du commerce et de la construction, tandis que la majeure partie de l’Australie était toujours confrontée à un confinement en raison de la pandémie de Covid-19. Et si un fournisseur de matériaux de construction comme Langs était dans l’incapacité de faire des affaires, cela pouvait affecter l’ensemble du programme pour l’industrie de la construction régionale.
« C’est un événement de grande ampleur qui ne se limite pas à Langs, car si nous ne pouvons pas fournir les marchandises à un constructeur parce que nous sommes hors ligne, il ne peut pas construire cette maison. Cela ne fait qu’accentuer la pression », explique-t-il.
De nombreuses victimes de ransomwares choisissent de payer la rançon, soit parce qu’elles estiment ne pas avoir d’autre choix, soit parce qu’elles considèrent que c’est le moyen le plus simple de restaurer le réseau, même si avec la clé de déchiffrement, le processus peut être long et fastidieux.
Qui cèdera le premier ?
Pour Langs et Matthew Day, cependant, l’idée de payer la rançon n’était pas envisageable – et ils disposaient d’un logiciel de récupération qui leur permettait d’analyser les données qui avaient été chiffrées ou modifiées et de restaurer le réseau à partir de sauvegardes stockées séparément du reste du réseau en quelques heures, avec une interruption minimale des services.
« J’étais assez confiant quant à l’aspect des données – nous utilisons Rubrik. Nous nous assurons qu’il y a une authentification multifactorielle et qu’il n’y a pas d’informations d’identification partagées, c’est un jardin clos », explique Matthew Day. « Ces personnes veulent immédiatement s’en prendre à vos sauvegardes car cela fait monter la pression, donc s’ils ne peuvent pas accéder à vos sauvegardes, vous êtes dans une bonne position. »
Mais cela n’a pas empêché les cybercriminels de tenter d’extorquer une rançon. Ils ont envoyé un courriel à tout le personnel de Langs, affirmant avoir volé des données et menaçant de les vendre sur le dark web si un paiement n’était pas reçu à une date donnée.
Bien que 13 gigaoctets de données aient quitté le réseau, il s’est avéré qu’il s’agissait de trafic ping, donc rien qui puisse représenter un risque pour la sécurité ou la confidentialité des clients ou des employés de Langs. La réception des e-mails a été un choc pour le personnel, mais Matthew Day a pu expliquer la situation et rassurer les gens en leur disant que, même si des cybercriminels les avaient contactés, il n’y avait pas lieu de s’inquiéter.
« Il faut communiquer avec les gens, leur expliquer. Nous avons pu montrer à l’entreprise qu’ils [les cybercriminels] jouent au chat et à la souris et que nous n’allons pas céder les premiers. Nous n’avons donc pas payé la rançon, le jour venu – et rien ne s’est passé », explique Matthew Day.
Au départ, l’e-mail compromis d’un fournisseur
L’enquête sur l’incident a révélé que les pirates ont d’abord accédé au réseau via un e-mail de phishing. Mais il ne s’agissait pas d’un courriel de hameçonnage ordinaire : les attaquants avaient fait leurs recherches et l’avaient envoyé à un employé de Langs depuis le compte de messagerie légitime d’un véritable employé chez un fournisseur qu’ils avaient déjà compromis.
Langs avait mis en place des listes d’autorisation pour vérifier les e-mails provenant de fournisseurs connus – et les attaquants ont pu en profiter, après avoir examiné les e-mails envoyés et reçus par le compte compromis et adapté spécifiquement l’e-mail envoyé aux victimes qui l’ont ouvert et ont déclenché involontairement l’attaque.
« Ils ont répondu à une commande que nous leur avions envoyée de la manière exactement correcte, c’était un jeu vraiment intelligent pour ces gars-là. L’e-mail provenait d’un compte vérifié, d’une personne à un moment donné et d’une manière attendue par l’utilisateur, mon employé, avec le formatage correct et le numéro valide correct, de sorte qu’il ne s’agissait pas d’un faux compte, ni d’un compte usurpé, mais d’un vrai compte », explique le responsable.
L’e-mail demandait à l’utilisateur de visiter un portail qui ressemblait exactement au site Web du fournisseur, sauf que celui-ci demandait un nom d’utilisateur et un mot de passe, et comme la victime avait été dupée en pensant qu’elle répondait à un message d’un contact légitime, elle a saisi les informations, fournissant par inadvertance aux cybercriminels des identifiants de connexion qu’ils ont exploités pour un accès initial au réseau.
Mais Matthew Day ne rejette pas la faute sur l’utilisateur, car la nature sophistiquée et ciblée de l’e-mail de phishing signifie qu’il serait difficile pour la plupart des gens de l’identifier comme un message suspect. « Nous pouvons faire atterrir des avions 99,9995 % du temps, sans problème, mais il suffit d’une décimale pour provoquer un incident massif, et ce n’est pas différent – je ne peux donc pas être trop dur avec mon utilisateur qui s’est fait avoir, car le message avait l’air légitime », dit-il.
Cet accès initial avec des informations d’identification légitimes a permis aux attaquants de fouiner sur le réseau sans se faire remarquer, jetant ainsi les bases pour chiffrer autant que possible avant de déclencher l’attaque par ransomware. Grâce aux logiciels de récupération et de sauvegarde des données, l’impact de l’attaque par ransomware a été relativement faible, mais il aurait pu être bien pire.
Après l’attaque vient le temps de l’analyse
Matthew Day a profité de l’incident pour examiner comment améliorer la cybersécurité chez Langs. L’une de ses tactiques consistait à s’assurer que l’authentification multifactorielle soit appliquée à un plus grand nombre de comptes. Le DSI avait auparavant fait pression pour qu’elle soit appliquée aux utilisateurs, mais elle était considérée comme un obstacle à la productivité. Avec le recul, il pense que si l’entreprise avait écouté ses conseils et appliqué l’authentification multifactorielle, l’attaque aurait pu être évitée.
« J’aurais dû rester plus fermement sur mes positions concernant l’accès externe et l’authentification à plusieurs facteurs. Nous en parlons depuis un certain temps et je faisais pression en ce sens, mais l’entreprise s’y opposait parce qu’elle considérait que c’était un fardeau supplémentaire pour les utilisateurs, une chose de plus qu’ils devaient apprendre et gérer », explique Matthew Day. « Si j’avais eu l’authentification multifactorielle, nous aurions pu stopper cette attaque particulière dans son élan et je suis heureux de dire que nous pouvons maintenant avoir ce protocole d’authentification sur ces postes de travail externes. »
La façon dont l’attaque est partie de l’e-mail compromis d’un fournisseur a également incité Langs à adopter une approche plus concrète de la sécurité de sa chaîne d’approvisionnement, en aidant les fournisseurs et les clients avec lesquels il traite le plus à rendre leurs réseaux plus résistants aux cyberattaques.
« Nous n’existons pas dans notre propre petite bulle, notre bulle doit inclure nos clients et nos fournisseurs dans le cycle de vie de la chaîne d’approvisionnement et s’assurer que nous la sécurisons de bout en bout », explique Matthew Day.
Les ransomwares sont l’une des plus importantes menaces de cybersécurité auxquelles les entreprises sont confrontées aujourd’hui, mais même lorsque les entreprises parviennent à repousser une attaque de ransomware sans payer de rançon aux cybercriminels, peu d’entre elles sont disposées à parler de ce qui s’est passé. Pourtant, Matthew Day n’hésite pas à se confier : « En parler, c’est un peu un truc à moi. Je veux aussi donner à d’autres personnes les moyens de parler de ces choses. Si j’en parle, il ne se passe rien de mal – cela encourage simplement les autres à le faire ».
Et Matthew Day espère que le fait de parler de l’incident, de la façon dont il s’est produit et de ce qui a été appris pourra aider d’autres entreprises à se défendre contre les ransomwares et, surtout, les aider à persuader les conseils d’administration de l’importance de prendre les menaces de cybersécurité au sérieux. « Si, en me manifestant et en parlant de ces choses, j’encourage un autre DSI, un responsable informatique ou un professionnel de l’informatique à avoir une conversation sur la façon de protéger ses données, sur la façon dont il gère la gouvernance des données ou sur la planification et les processus de cybersécurité, afin de pouvoir protéger les moyens de subsistance de ses employés et de ses collègues, je me sentirai mieux », dit-il.
Source : ZDNet.com
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));