Auteur Sujet: Ville de Tullins: "une cyber-attaque d’une très grande ampleur par cryptovirus" (Lu 8197 fois)

alain_p · « **Réponse #24 le:** 07 février 2020 à 07:40:59 »

Citation de: Nico le 07 février 2020 à 07:07:59

Je trouve que cette publication va pourtant dans le bon sens : https://www.cert.ssi.gouv.fr/ioc/CERTFR-2020-IOC-001/

Ce sont les indicateurs de compromission liés au ransomware Maze. A noter que compte tenu du timing ça n'est probablement pas un REX de l'attaque envers BYCN mais qqch dqui était éjà en préparation.

Bof, tu as regardé ? Quelques lignes de texte t'invitant à télécharger un fichier JSON sans aucune explication sur sa structure, imbitable. On en fait quoi ?

Nico · « **Réponse #25 le:** 07 février 2020 à 07:51:19 »

Cela semble être deux formats habituels d'échange pour ce genre d'informations (MISP et STIX 2.0, cf. les liens proposés sur la page). J'imagine qu'un CERT/SOC saura parfaitement quoi en faire.

Le RSSI lambda là ça peut se discuter (mais à qui la faute ?).

MISP Core Format
The MISP core format is a simple JSON format used by MISP and other tools to exchange events and attributes. The JSON schema 2.4 is described on the MISP core software and many sample files are available in the OSINT feed.

What is STIX?
Structured Threat Information Expression (STIX™) is a language and serialization format used to exchange cyber threat intelligence (CTI). STIX is open source and free allowing those interested to contribute and ask questions freely.

alain_p · « **Réponse #26 le:** 07 février 2020 à 07:58:39 »

Citation de: Nico le 07 février 2020 à 07:51:19

Le RSSI lambda là ça peut se discuter (mais à qui la faute ?).

Bah, aux agences de sécurité nationales, qui ne sont pas capables de faire passer une information claire au RSSI de base, qui leur permettrait de prendre les mesures adéquates sur leur réseau ?

P.S : d'après ce que je vois, on a une liste d'adresses IP source des attaques ? qui peuvent changer...

vivien · « **Réponse #27 le:** 07 février 2020 à 08:13:23 »

C'est vrai qu'il manque peut-être un messages ANSSI destiné à ceux qui ont pas de connaissance sur ce qu'il est important de faire pour se protéger.

Hier au travail une collège à envoyé à tous par mail un lien d'un fichier d'un fichier sur le réseau local d'un .zip qui contenait un .exe
Nombreux sont ceux qui ont lancé le .exe (heureusement pas infecté)

Ransomware : comment l’université de Maastricht s’est confrontée à Clop

Dans un remarquable exercice de transparence, elle reconnaît avoir versé près de 200 000 € pour accélérer la restauration initiale de ses systèmes. Sa direction souligne l’importance du facteur humain.

L’université de Maastricht a été frappée par un rançongiciel tout juste avant Noël dernier. Ce mercredi 5 février, elle a organisé une conférence retransmise sur Internet pour partager son expérience et souligner les leçons qui en ont été retirées. L’exercice est d’autant plus remarquable que la direction de l’université a choisi de régler la rançon demandée : 30 bitcoins, soit environ 197 000 €. Fox-IT a été appelé à la rescousse.

Une autre victime de Clop

La compromission initiale est survenue mi-octobre, par hameçonnage, une époque où le groupe TA505 se faisait remarquer par ses activités prononcées. En France, il lui est notamment attribué l’infection du CHU de Rouen par le rançongiciel Cryptomix Clop. Dans l’e-mail de phishing reçu à l’université de Maastricht se trouvait un lien vers un fichier caché derrière une adresse liée au nom de domaine onedrive-download-en[.]com, identifié le 15 octobre par les équipes de Threat Connect, et enregistré la veille. Celles-ci avaient immédiatement soupçonné le groupe TA505. D’autres domaines sont mentionnés dans le rapport de Fox-IT – et l’on retrouve des éléments publiés par Proofpoint mi-octobre –, dont au moins un qui avait été identifié, mais pas formellement lié aux activités de TA505.

Par la suite, les assaillants se sont déplacés dans le réseau. Le 21 novembre, ils avaient gagné le contrôle complet du système d’information, profitant notamment de vulnérabilités pour lesquelles les correctifs disponibles n’avaient pas été appliqués, en l’occurrence MS17-0104 : deux serveurs sous Windows Server 2003 R2 étaient vulnérables à EternalBlue, de même qu’un troisième sous Windows Server 2012 R2. Le 24 octobre, ils ont commencé à remonter aux contrôleurs de domaine avec l’outil PingCastle. La prise de contrôle a été finalisée le 19 décembre, avec l’aide de l’outil AdFind.

Profitant de ce contrôle, les attaquants ont désactivé les systèmes de protection des hôtes (EPP) en place, signés McAfee, le 23 décembre, afin de pouvoir déployer sereinement la charge de chiffrement. Laquelle a été détonée dans la foulée. La réponse a pu être engagée le lendemain, avec l’aide de Fox-IT, et notamment l’isolation des systèmes affectés. À cette date, le nom du rançongiciel circulait déjà, de même que celui du prestataire appelé à l’aide.

Au total, après compromission des contrôleurs de domaine, et donc, de l’infrastructure Active Directory, les assaillants ont chiffré 267 serveurs. Le sujet d’une éventuelle exfiltration de données n’apparaît pas encore clos à ce stade.

Payer pour gagner du temps

Mais très vite, l’université a annoncé un calendrier agressif, évoquant dès le 28 décembre que les bâtiments seraient ouverts dès le 2 janvier, puis que les processus liés à l’enseignement devaient être à nouveau opérationnels le 6 janvier. En fait, dès le 2 janvier, certains systèmes ont pu être remis graduellement en route. Le 3 janvier, 15 000 étudiants et employés avaient pu changer leurs mots de passe. Et le 7 janvier, les partages réseau étaient à nouveau accessibles depuis les réseaux filaires.

Pour aller aussi vite, la mobilisation a été considérable, avec plus d’une centaine de personnes sur le pont lors de Noël. Mais afin d’éviter de pénaliser notamment les étudiants et les travaux de recherche, la décision – présentée comme réellement lourde et difficile – a été prise de payer la rançon demandée. Après avoir vérifié que les assaillants disposaient d’un outil de déchiffrement fonctionnel, le montant demandé a été réglé le 30 décembre.

Les leçons retirées de cet épisode sont nombreuses et soulignent l’importance d’une approche complète de la cybersécurité, associant utilisateurs et contrôles techniques multiples. La première renvoie sans surprise à la sensibilisation, pour permettre aux utilisateurs de repérer les tentatives de phishing, mais aussi de les signaler. Un premier destinataire du message de hameçonnage avait ainsi vu le piège. Mais un second s’y est hélas fait prendre.

Une protection combinant humain et technique

Sur le volet technique, il y a bien sûr la question de l’application des mises à jour. Mais l’enjeu est considérable : pour l’université de Maastricht, le compte s’établit autour de 100 000 correctifs à appliquer par an, à raison de 1 650 serveurs et plus de 7 300 de postes de travail – dont certains en VDI. À cela s’ajoute l’application généralisée du principe de moindre privilège, mais aussi celle du concept de segmentation réseau – et surtout du domaine. Cela doit permettre de limiter les capacités de déplacement des assaillants et l’impact d’une éventuelle compromission réussie.

Mais pas question d’attendre qu’elle survienne : pour détecter, il faut un service de SOC, pour surveiller le trafic réseau, repérer les signaux faibles. Et d’appeler notamment à la création d’un tel service mutualisé pour le secteur de l’éducation. Mais la détection des signaux faibles doit s’étendre aux hôtes du système d’information. L’université de Maastricht a d’ailleurs récemment annoncé le déploiement de l’EDR de Carbon Black.

Mais l’approche reste incomplète si les moyens sont absents pour rebondir en cas d’incident. En plus des sauvegardes en ligne préexistantes, mais potentiellement exposées au risque de compromission, des sauvegardes hors ligne ont été mises en place – dès le début du mois de janvier.

Source : LeMagIT, par Valéry Marchive, Rédacteur en chef, Publié le: 06 févr. 2020

Nico · « **Réponse #28 le:** 07 février 2020 à 08:15:08 »

Visiblement l'information partagée utilise des standards (?) du milieu de la sécurité informatique, ne serait-ce pas au RSSI de les connaître ?

Après c'est un vaste débat, combien de "RSSI" le sont devenus à l'insu de leur plein grès parce que c'était ceux qui touchaient un peu plus que les autres et qu'il en fallait un ? Le fond du problème est peut-être ici ?

Citation de: alain_p le 07 février 2020 à 07:58:39

P.S : d'après ce que je vois, on a une liste d'adresses IP source des attaques ? qui peuvent changer...

Tout à fait, après le site indique :

Cette infrastructure réseau est utilisée depuis novembre 2019 et est active à ce jour.

alain_p · « **Réponse #29 le:** 07 février 2020 à 08:37:22 »

Citation de: Nico le 07 février 2020 à 08:15:08

Visiblement l'information partagée utilise des standards (?) du milieu de la sécurité informatique, ne serait-ce pas au RSSI de les connaître ?

A mon avis, c'est un standard d'échanges entre CERT, pas plus, et pas destinés aux RSSI. J'ai suivi une formation sécurité informatique et on ne m'a jamais parlé de ces formats d'échange...

Le compte rendu qu'a donné Vivien nous est nettement plus utile.

spectrolazer · « **Réponse #30 le:** 07 février 2020 à 09:03:17 »

Le seul mot qu'il a à la bouche aujourd'hui le RSSI c'est...RGPD !

jfcorps · « **Réponse #31 le:** 07 février 2020 à 15:06:05 »

Dans les mairies il n'y a pas de RSSI, au mieux tu trouveras un responsable de service vaguement au courant qu'il ne faut pas mettre une clé USB extérieur dans les PC.

Mais payer la rançon, est vraiment la pire des solutions, car c'est leur donner les moyens de recommencer.
Pour moi il faut s'assurer qu'un système passif de sauvegarde isolé du reste est en mesure de remonter l'ensemble d'un système.
Car il y aura toujours un patch non appliqué ou une faille utilisable.

underground78 · « **Réponse #32 le:** 07 février 2020 à 15:20:33 »

Citation de: jfcorps le 07 février 2020 à 15:06:05

Mais payer la rançon, est vraiment la pire des solutions, car c'est leur donner les moyens de recommencer.

Dans le principe je suis d'accord, après on a vu des cas où le rétablissement du système informatique sans passer par le paiement de la rançon a coûté plus cher que la rançon... Du coup je comprends que la question se pose juste par "pragmatisme".

jfcorps · « **Réponse #33 le:** 07 février 2020 à 15:58:13 »

Citation de: underground78 le 07 février 2020 à 15:20:33

Dans le principe je suis d'accord, après on a vu des cas où le rétablissement du système informatique sans passer par le paiement de la rançon a coûté plus cher que la rançon... Du coup je comprends que la question se pose juste par "pragmatisme".

Ce pragmatisme court terme a donné des moyens au groupe de revenir plus fort la prochaine fois.
Ils vont pouvoir faire leurs emplettse sur le black market et revenir avec un kit encore plus avancé et même peut-être des zero day.

Non sérieusement il n'y a rien qui justifie de payer les rançons.

xp25 · « **Réponse #34 le:** 07 février 2020 à 16:21:36 »

Mais que fait la police ?

alain_p · « **Réponse #35 le:** 07 février 2020 à 17:31:21 »

Quand je vois que le groupe Maze aurait siphonné 700 To à Bouygues, je me dis qu'ils ont quelques moyens, d'abord pour les stocker. Après, c'est peut-être le pire des cas, s'ils avaient siphonné toutes les données...