La Fibre
Télécom => Réseau => 
Attaques informatiques => Discussion démarrée par: vivien le 04 février 2020 à 16:38:56
-
Communiqué de presse du 3 février 2020 de la Ville de TULLINS :
(https://lafibre.info/images/logo/logo_faille_securite.jpg)
Dans la nuit du 30 au 31 janvier 2020, la Mairie de Tullins a été la cible d’une cyber-attaque d’une très grande ampleur par cryptovirus qui a la particularité de chiffrer toutes les données contenues sur le serveur et une demande de rançon a été réclamée par les pirates informatiques.
Les agents et élus de la commune n’ont plus accès à leurs fichiers qui ont été cryptés. La messagerie est donc hors service.
Des solutions sont actuellement à l’étude pour la réinstallation des logiciels et la récupération d’un maximum de données.
A noter qu’une plainte a été déposée en gendarmerie et que la Municipalité n’a pas l’intention de payer la rançon réclamée par les pirates. Une enquête judiciaire est en cours.
Merci de votre compréhension.
Source : PDF (généré avec Word 2016) sur le site web de la ville Tullins (http://www.ville-tullins.fr/documents/marquee/communique_de_presse_du_3_fevrier_2020.pdf)
On apprécie la particularité de ce "cryptovirus" : "a la particularité de chiffrer toutes les données", c'est étonnant !
-
Avant on disait : 'la bourse ou la vie.'
Maintenant on dit : 'les bitcoins ou la messagerie.'
Les temps changent ...
-
Et les gens savent toujours autant se faire détrousser, et toujours pas se protéger. Ca c'est ce qu'on appelle de l'apprentissage, de l'évolution et de l'expérience !
-
une demande de rançon a été réclamée par les pirates informatiques
Je pense qu'ils ont plutôt réclamé une rançon, ou émis une demande de rançon.
Ou alors c'est la mairie qui a réclamé une demande de rançon au pirate qui ne se manifestait pas ;D
-
Attention c'est une "cyber-attaque d’une très grande ampleur" et "le serveur" est au singulier.
Bref, de grande ampleur mais cela semble limité à une machine.
J'aimerais connaître le système d'exploitation utilisé, et surtout sa version.
-
Attention c'est une "cyber-attaque d’une très grande ampleur" et "le serveur" est au singulier.
Bref, de grande ampleur mais cela semble limité à une machine.
J'aimerais connaître le système d'exploitation utilisé, et surtout sa version.
On ne se saura jamais. Une chose est sure c'est si y a un audit de réalisé le responsable SI a des chances de prendre cher, a moins qu'il ait demandé des moyens a son maire pour sécuriser la SI et que cela ait été refusé.
N'y a t'il pas des aides de l’État aux collectivités pour sécuriser les SI ? en Mairie on trouve quand même des documents sensibles sur les serveurs.
-
en Mairie on trouve quand même des documents sensibles sur les serveurs.
Du genre ?
-
Du genre ?
Il y a souvent des documents contenant beaucoup d'informations sur les administrés.
Si les pirates ont pu chopper les fichiers des écoles par exemple, tu peux trouver toutes les coordonnées, et le niveau de revenu par exemple.
-
Du genre ?
du genre nom prénom adresses liste electorale, cadastre, documents sur les infrastructure techniques de la ville, des codes d'alarme, systeme de VPU si équipé, gestion financière de la commune, documents d'identité... et j'en passe la liste est très longue.
-
Le cadastre et les comptes de la ville c'est publique.
Non ce qui craint c'est toutes les infos des habitants et de leurs revenus. Ca peut conduire à des attaques ciblées.
-
Attention c'est une "cyber-attaque d’une très grande ampleur" et "le serveur" est au singulier.
Bref, de grande ampleur mais cela semble limité à une machine.
J'aimerais connaître le système d'exploitation utilisé, et surtout sa version.
Je pense qu'ils travaillaient en stockant leurs documents sur un partage, qui était probablement un serveur windows. Mais en fait, la version du serveur importe peu, si le partage est monté sur une lettre de lecteur, les fichiers peuvent être chiffrés sur le serveur (et je pense même si le serveur de fichier est un Linux ou un NAS synology).
Il faudrait plutôt voir la version des clients, mais même là, même avec un antivirus à jour, ouvrir une pièce jointe attachée à un mail contenant une nouvelle version de cryptolocker peut ne pas être détectée à temps par l'antivirus.
Après, il faut compter sur les sauvegardes...
-
Mais dans ce cas là il n'y aurait pas que le serveur d'affecté, il y aurait au minimum un client qui lui aussi aurait ses document locaux chiffrés.
-
Pas la peine de chercher très loin en fait, si on prend l'exemple de WannaCry , il exploite les failles de windows.
Au départ c'est une backdoor pour la NSA dans windows qui a été exploité ensuite par des groupes de pirates, puis patché par Microsoft.
La première faille est certainnement des machines avec des versions obsolètes, non patché.
Et la seconde faille est très certainnement humaine, un mail frelaté avec un virus qui a été ouvert.
Le problème est donc complexe, tant que la NSA se prendra pour le maître du monde à obliger tous les géants du numériques a lui ménager des backdoors, on aura des problèmes.
La solution est souvent la même : rupture de protocole entre le stockage de données sensible et les postes des utilisateurs , sauvegarde en lieu sûr et contrôle d'accès strict.
-
Mais dans ce cas là il n'y aurait pas que le serveur d'affecté, il y aurait au minimum un client qui lui aussi aurait ses document locaux chiffrés.
Et c'est effectivement ce qui me parait le plus probable. Les autres ne peuvent plus travailler parce que le serveur a leurs fichiers chiffrés et a été mis hors ligne.
-
La première faille est certainnement des machines avec des versions obsolètes, non patché.
Pas forcément, le virus peut ne pas être (encore) dans les bases. De quelle faille a-t-il besoin, autre que quelqu'un l'exécute, qui a accès aux fichiers ? Et donc un mail avec un fichier joint suffit.
-
Pas forcément, le virus peut ne pas être (encore) dans les bases. De quelle faille a-t-il besoin, autre que quelqu'un l'exécute, qui a accès aux fichiers ? Et donc un mail avec un fichier joint suffit.
Non pas forcement, un site internet piégé peut faire l'affaire. Il y a des failles dans certains moteurs javascript et ça peut conduire à une élévation de privilège.
-
Oui aussi, mais y-a-t-il forcément besoin d'une élévation de privilèges quand on a accès à ses propres fichiers (et à ceux des autres partagés sur un serveur) ?
On peut d'ailleurs imaginer une pièce jointe qui ne contient qu'un script qui va télécharger la charge malveillante sur un site, et l'exécuter.
-
Oui mais là faut être un peu idiot pour exécuter ça. Car tu vas voir que tu lances un programme.
Non généralement un virus est silencieux et possède plusieurs phases.
La première est l’exécution de son code, qui peut soit utiliser la faille humaine soit un faille dans un logiciel comme un navigateur ou une clé USB.
Puis en second l’élévation de privilège nécessite d'injecter du code dans un process qui possède déjà les droits, comme la plupart des services windows importants.
Tu ne peux pas chiffrer un disque dur complet rapidement et silencieusement sans avoir les droits maximum sur windows.
-
Oui mais là faut être un peu idiot pour exécuter ça. Car tu vas voir que tu lances un programme.
Pas forcément, et je parle d'expérience, j'ai vu il y a quelques années le cas se produire. Quand tu ouvres une pièce jointe, tu exécutes le programme. Après, il agit en tâche de fond, sans que tu ne vois rien. Ce n'est que quelques dizaine de minutes plus tard qu'un texte apparait, disant que tes fichiers ont été cryptés, et te réclamant une rançon. Et quand tu vérifies, en ouvrant l'explorateur sur tes données, tu t'aperçois qu'elles ont une extension bizarre, et que c'est vrai, tu n'y as plus accès...
Tu ne chiffres pas tout le disque, seulement certains répertoires auxquels tu as accès, et notamment ceux qui ont des extensions jpg, docx, xslx, pptx etc...
Le système reste intact.
-
Oui je sais c'est wannaCry qui est comme ça, une simple pièce jointe.
Car il n'utilise pas de faille à l'injection de son code d’exécution.
Moi je te parle d'un virus qui va s’exécuter via une faille complètement silencieusement sans cliquer ou télécharger un truc.
Comme par exemple le très connu Stuxnet qui s’exécute en insérant simplement une clé USB infectée.
-
On notera que cette mairie a eu moins le mérité de communiquer au sujet de l'attaque, ce que beaucoup de grandes structures ne font visiblement pas : https://www.nextinpact.com/news/108673-rancongiciel-maze-bouygues-construction-fait-lautruche-lanssi-sen-mele.htm.
-
Personnellement, ce qui me gêne beaucoup sur les dernières affaires de ransomwares en France ces derniers mois, c'est qu'il n'y ait aucune information publiée sur le mode d'attaque et de propagation, malgré l'intervention de l'ANSSI, organisme public. Ce qui aurait permis d'ajuster les précautions prises pour éviter ce genre d'attaques.
Cela laisse ouvert toutes les spéculations, comme notre débat avec jfcorps, pour savoir si c'est suite à l'exploitation d'une faille de sécurité, par exemple des systèmes pas mis à jour, ou au contraire des failles 0 day, ou si cela résulte simplement de l'ouverture d'une pièce jointe d'un mail piégé...
-
Je suis d'accord, globalement les petites structures comme des mairies ou des petites sociétés sont démunies contre ce genre d'attaque.
Peut importe si c'est un mail piégé ou une clé USB au final, si tu n'es pas à jour ou pas au fait des dernières failles de sécurité, tu es vulnérable.
Souvent les gens pensent que c'est l'affaire d'un spécialiste en sécurité de protéger une installation. Or c'est complètement faux.
On voit que c'est souvent une faute humaine.
En face on a quand même un marché de l'escroquerie : acheter une mailing liste, des noms , des mots de passes , j'en passe ou des meilleures est librement accessible sur le darknet.
Des kits prêt à l'emploi de virus ou tout genre sont aussi disponible.
N'importe quel petit groupe d’escrocs , même pas besoin de connaitre l'informatique, est capable de monter des attaques en achetant facilement tout ce qu'ils ont besoin.
Si je prend en exemple mon cas perso, je possède un site internet ou j'expérimente des services REST écrits en java, ça tourne avec spring boot sur un serveur linux.
Rien de spécial, je n'ai strictement rien d’intéressant, c'est pour me former à java.
Sans mentir j'ai des requêtes plusieurs fois par jour qui testent les failles de CMS php les plus courants : wordpress, drupal, joomla etc ... alors que je n'ai même pas de php qui tourne.
Autant vous dire que si j'avais un CMS non à jour il serait piraté tous les jours.
Ca c'est sur un site internet insignifiant ... je vous laisse imaginer sur un gros site ce que ça doit être.
Ma conclusion : Nous ne sommes globalement pas assez informé et encore moins préparé contre ça.
Il faut bien se mettre dans la tête que c'est le far west sur internet.
Comme le dit le slogan du site zataz.com : s'informer c'est déjà se protéger.
-
Personnellement, ce qui me gêne beaucoup sur les dernières affaires de ransomwares en France ces derniers mois, c'est qu'il n'y ait aucune information publiée sur le mode d'attaque et de propagation, malgré l'intervention de l'ANSSI, organisme public. Ce qui aurait permis d'ajuster les précautions prises pour éviter ce genre d'attaques.
Je trouve que cette publication va pourtant dans le bon sens : https://www.cert.ssi.gouv.fr/ioc/CERTFR-2020-IOC-001/
Ce sont les indicateurs de compromission liés au ransomware Maze. A noter que compte tenu du timing ça n'est probablement pas un REX de l'attaque envers BYCN mais qqch dqui était éjà en préparation.
-
Je trouve que cette publication va pourtant dans le bon sens : https://www.cert.ssi.gouv.fr/ioc/CERTFR-2020-IOC-001/
Ce sont les indicateurs de compromission liés au ransomware Maze. A noter que compte tenu du timing ça n'est probablement pas un REX de l'attaque envers BYCN mais qqch dqui était éjà en préparation.
Bof, tu as regardé ? Quelques lignes de texte t'invitant à télécharger un fichier JSON sans aucune explication sur sa structure, imbitable. On en fait quoi ?
-
Cela semble être deux formats habituels d'échange pour ce genre d'informations (MISP et STIX 2.0, cf. les liens proposés sur la page). J'imagine qu'un CERT/SOC saura parfaitement quoi en faire.
Le RSSI lambda là ça peut se discuter (mais à qui la faute ?).
MISP Core Format
The MISP core format is a simple JSON format used by MISP and other tools to exchange events and attributes. The JSON schema 2.4 is described on the MISP core software and many sample files are available in the OSINT feed.
What is STIX?
Structured Threat Information Expression (STIX™) is a language and serialization format used to exchange cyber threat intelligence (CTI). STIX is open source and free allowing those interested to contribute and ask questions freely.
-
Le RSSI lambda là ça peut se discuter (mais à qui la faute ?).
Bah, aux agences de sécurité nationales, qui ne sont pas capables de faire passer une information claire au RSSI de base, qui leur permettrait de prendre les mesures adéquates sur leur réseau ?
P.S : d'après ce que je vois, on a une liste d'adresses IP source des attaques ? qui peuvent changer...
-
C'est vrai qu'il manque peut-être un messages ANSSI destiné à ceux qui ont pas de connaissance sur ce qu'il est important de faire pour se protéger.
Hier au travail une collège à envoyé à tous par mail un lien d'un fichier d'un fichier sur le réseau local d'un .zip qui contenait un .exe
Nombreux sont ceux qui ont lancé le .exe (heureusement pas infecté)
Ransomware : comment l’université de Maastricht s’est confrontée à Clop
Dans un remarquable exercice de transparence, elle reconnaît avoir versé près de 200 000 € pour accélérer la restauration initiale de ses systèmes. Sa direction souligne l’importance du facteur humain.
L’université de Maastricht a été frappée par un rançongiciel tout juste avant Noël dernier. Ce mercredi 5 février, elle a organisé une conférence retransmise sur Internet pour partager son expérience et souligner les leçons qui en ont été retirées. L’exercice est d’autant plus remarquable que la direction de l’université a choisi de régler la rançon demandée : 30 bitcoins, soit environ 197 000 €. Fox-IT a été appelé à la rescousse.
Une autre victime de Clop
La compromission initiale est survenue mi-octobre, par hameçonnage, une époque où le groupe TA505 se faisait remarquer par ses activités prononcées. En France, il lui est notamment attribué l’infection du CHU de Rouen par le rançongiciel Cryptomix Clop. Dans l’e-mail de phishing reçu à l’université de Maastricht se trouvait un lien vers un fichier caché derrière une adresse liée au nom de domaine onedrive-download-en[.]com, identifié le 15 octobre par les équipes de Threat Connect, et enregistré la veille. Celles-ci avaient immédiatement soupçonné le groupe TA505. D’autres domaines sont mentionnés dans le rapport de Fox-IT – et l’on retrouve des éléments publiés par Proofpoint mi-octobre –, dont au moins un qui avait été identifié, mais pas formellement lié aux activités de TA505.
Par la suite, les assaillants se sont déplacés dans le réseau. Le 21 novembre, ils avaient gagné le contrôle complet du système d’information, profitant notamment de vulnérabilités pour lesquelles les correctifs disponibles n’avaient pas été appliqués, en l’occurrence MS17-0104 : deux serveurs sous Windows Server 2003 R2 étaient vulnérables à EternalBlue, de même qu’un troisième sous Windows Server 2012 R2. Le 24 octobre, ils ont commencé à remonter aux contrôleurs de domaine avec l’outil PingCastle. La prise de contrôle a été finalisée le 19 décembre, avec l’aide de l’outil AdFind.
Profitant de ce contrôle, les attaquants ont désactivé les systèmes de protection des hôtes (EPP) en place, signés McAfee, le 23 décembre, afin de pouvoir déployer sereinement la charge de chiffrement. Laquelle a été détonée dans la foulée. La réponse a pu être engagée le lendemain, avec l’aide de Fox-IT, et notamment l’isolation des systèmes affectés. À cette date, le nom du rançongiciel circulait déjà, de même que celui du prestataire appelé à l’aide.
Au total, après compromission des contrôleurs de domaine, et donc, de l’infrastructure Active Directory, les assaillants ont chiffré 267 serveurs. Le sujet d’une éventuelle exfiltration de données n’apparaît pas encore clos à ce stade.
Payer pour gagner du temps
Mais très vite, l’université a annoncé un calendrier agressif, évoquant dès le 28 décembre que les bâtiments seraient ouverts dès le 2 janvier, puis que les processus liés à l’enseignement devaient être à nouveau opérationnels le 6 janvier. En fait, dès le 2 janvier, certains systèmes ont pu être remis graduellement en route. Le 3 janvier, 15 000 étudiants et employés avaient pu changer leurs mots de passe. Et le 7 janvier, les partages réseau étaient à nouveau accessibles depuis les réseaux filaires.
Pour aller aussi vite, la mobilisation a été considérable, avec plus d’une centaine de personnes sur le pont lors de Noël. Mais afin d’éviter de pénaliser notamment les étudiants et les travaux de recherche, la décision – présentée comme réellement lourde et difficile – a été prise de payer la rançon demandée. Après avoir vérifié que les assaillants disposaient d’un outil de déchiffrement fonctionnel, le montant demandé a été réglé le 30 décembre.
Les leçons retirées de cet épisode sont nombreuses et soulignent l’importance d’une approche complète de la cybersécurité, associant utilisateurs et contrôles techniques multiples. La première renvoie sans surprise à la sensibilisation, pour permettre aux utilisateurs de repérer les tentatives de phishing, mais aussi de les signaler. Un premier destinataire du message de hameçonnage avait ainsi vu le piège. Mais un second s’y est hélas fait prendre.
Une protection combinant humain et technique
Sur le volet technique, il y a bien sûr la question de l’application des mises à jour. Mais l’enjeu est considérable : pour l’université de Maastricht, le compte s’établit autour de 100 000 correctifs à appliquer par an, à raison de 1 650 serveurs et plus de 7 300 de postes de travail – dont certains en VDI. À cela s’ajoute l’application généralisée du principe de moindre privilège, mais aussi celle du concept de segmentation réseau – et surtout du domaine. Cela doit permettre de limiter les capacités de déplacement des assaillants et l’impact d’une éventuelle compromission réussie.
Mais pas question d’attendre qu’elle survienne : pour détecter, il faut un service de SOC, pour surveiller le trafic réseau, repérer les signaux faibles. Et d’appeler notamment à la création d’un tel service mutualisé pour le secteur de l’éducation. Mais la détection des signaux faibles doit s’étendre aux hôtes du système d’information. L’université de Maastricht a d’ailleurs récemment annoncé le déploiement de l’EDR de Carbon Black.
Mais l’approche reste incomplète si les moyens sont absents pour rebondir en cas d’incident. En plus des sauvegardes en ligne préexistantes, mais potentiellement exposées au risque de compromission, des sauvegardes hors ligne ont été mises en place – dès le début du mois de janvier.
Source : LeMagIT (https://www.lemagit.fr/etude/Ransomware-comment-luniversite-de-Maastricht-sest-confrontee-a-Clop), par Valéry Marchive, Rédacteur en chef, Publié le: 06 févr. 2020
-
Visiblement l'information partagée utilise des standards (?) du milieu de la sécurité informatique, ne serait-ce pas au RSSI de les connaître ?
Après c'est un vaste débat, combien de "RSSI" le sont devenus à l'insu de leur plein grès parce que c'était ceux qui touchaient un peu plus que les autres et qu'il en fallait un ? Le fond du problème est peut-être ici ?
P.S : d'après ce que je vois, on a une liste d'adresses IP source des attaques ? qui peuvent changer...
Tout à fait, après le site indique :
Cette infrastructure réseau est utilisée depuis novembre 2019 et est active à ce jour.
-
Visiblement l'information partagée utilise des standards (?) du milieu de la sécurité informatique, ne serait-ce pas au RSSI de les connaître ?
A mon avis, c'est un standard d'échanges entre CERT, pas plus, et pas destinés aux RSSI. J'ai suivi une formation sécurité informatique et on ne m'a jamais parlé de ces formats d'échange...
Le compte rendu qu'a donné Vivien nous est nettement plus utile.
-
Le seul mot qu'il a à la bouche aujourd'hui le RSSI c'est...RGPD !
-
Dans les mairies il n'y a pas de RSSI, au mieux tu trouveras un responsable de service vaguement au courant qu'il ne faut pas mettre une clé USB extérieur dans les PC.
Mais payer la rançon, est vraiment la pire des solutions, car c'est leur donner les moyens de recommencer.
Pour moi il faut s'assurer qu'un système passif de sauvegarde isolé du reste est en mesure de remonter l'ensemble d'un système.
Car il y aura toujours un patch non appliqué ou une faille utilisable.
-
Mais payer la rançon, est vraiment la pire des solutions, car c'est leur donner les moyens de recommencer.
Dans le principe je suis d'accord, après on a vu des cas où le rétablissement du système informatique sans passer par le paiement de la rançon a coûté plus cher que la rançon... Du coup je comprends que la question se pose juste par "pragmatisme".
-
Dans le principe je suis d'accord, après on a vu des cas où le rétablissement du système informatique sans passer par le paiement de la rançon a coûté plus cher que la rançon... Du coup je comprends que la question se pose juste par "pragmatisme".
Ce pragmatisme court terme a donné des moyens au groupe de revenir plus fort la prochaine fois.
Ils vont pouvoir faire leurs emplettse sur le black market et revenir avec un kit encore plus avancé et même peut-être des zero day.
Non sérieusement il n'y a rien qui justifie de payer les rançons.
-
Mais que fait la police ?
-
Quand je vois que le groupe Maze aurait siphonné 700 To à Bouygues, je me dis qu'ils ont quelques moyens, d'abord pour les stocker. Après, c'est peut-être le pire des cas, s'ils avaient siphonné toutes les données...