Des pirates s’introduisent dans les réseaux d’entreprises et y séjournent pendant des semaines ou des mois, histoire de bien pouvoir identifier les ressources stratégiques. Avec un grand succès.
Un nouveau rançongiciel terrorise depuis moins d’un an les entreprises, en particulier américaines. Baptisé « Ryuk », il s’agit d’un malware que les pirates utilisent pour attaquer de manière chirurgicale les ressources stratégiques dans un réseau. Ce qui permet de maximiser la rançon. La campagne a été analysée concomitamment par les chercheurs de Crowdstrike et FireEye, qui ont estimé que les pirates ont d’ores et déjà pu récolter depuis février 2017 l’équivalent de 3,2 millions d’euros au travers de 52 transactions, soit une rançon moyenne d’environ 60.000 euros par victime.
Pour piéger les entreprises, ce groupe de pirates – que les chercheurs ont baptisé Grim Spider – utilisent d’abord un cheval de Troie déjà bien connu, à savoir « TrickBot ». Celui-ci est généralement embarqué dans une feuille Excel, qui est elle-même envoyée par e-mail à une personne ciblée. Si celle-ci se laisse piéger par le message et déverrouille les contenus actifs du document, le malware s’installe sur le système et prend contact avec les serveurs de commande et contrôle des pirates. Ces derniers vont alors utiliser différentes techniques pour compromettre les machines du réseau de proche en proche : des modules de vol de mots de passe, des connexions Windows Remote Desktop Protocol, des portes dérobées PowerShell, etc.
Faire d’une pierre deux coups
Cette phase de reconnaissance permet aux pirates d’identifier les ressources stratégiques de l’entreprise avant de passer à la phase de chiffrement. Les attaquants, d’ailleurs, prennent parfois leur temps. Il peut s’écouler plusieurs semaines, voire plusieurs mois, avant que le ransomware Ryuk soit déposé sur les machines. Pourquoi ? D’une part parce que cette reconnaissance manuelle prend beaucoup de temps, et d’autre part parce que les pirates ont peut-être profité de ces accès pour d’abord les « monétiser d’une autre manière », estime FireEye. Par exemple avec un vol de données sensibles.
Ensuite, quand le jour J est arrivé, les pirates installent le ransomware et bloquent toutes les machines. Le malware va chiffrer les données du système ainsi que celles de tous les disques avec lequel il est connecté. Inversement, il prend soin d’effacer tous les fichiers de sauvegarde qu’il rencontre sur son chemin, y compris les « shadows copies » réalisées par Windows. C’est un travail particulièrement méticuleux qui suppose « une connaissance approfondie des systèmes de sauvegarde pour entreprise », estime Crowdstrike.
Qui se cache derrière Ryuk ? Selon Crowdstrike, les pirates seraient « probablement, voire très probablement » localisés en Russie. En effet, le ransomware intègre un « kill switch » qui s’active si la victime est identifiée comme russe, biélorusse ou ukrainienne. Un comportement qui est assez classique dans l’univers du cybercrime. Ainsi, les pirates évitent de scier sur la branche sur laquelle ils sont assis. Par ailleurs, Crowdstrike a identifié quelques éléments de langage russe dans le code, ainsi qu’un téléchargement suspect provenant de Moscou.