Découvrez l’édition du mois de septembre de notre Bulletin Cyber, un condensé des dernières attaques par ransomware et les différents aspects de sécurisation des actions utilisateur.
Introduction
Dans cette nouvelle édition de notre bulletin, nos experts se concentrent sur les mouvements de certains groupes responsables d’attaques de ransomware et présentent les correctifs à mettre en place d’urgence pour limiter l’exploitation de la faille PrintNightmare sur les serveurs Windows. Pour finir, ils reviendront sur les conseils à suivre pour atténuer les risques d’attaques.
Le groupe DarkSide réapparaît sous le nom de BlackMatter
Le groupe DarkSide, connu pour leur attaque contre Colonial Pipeline qui gère le plus grand oléoduc des Etats-Unis, qui a provoqué des pénuries de carburant dans le sud-est des Etats-Unis, avait suspendu ses activités à la suite des enquêtes menées par les forces de l’ordre internationales et par le gouvernement américain.
Durant ce mois, un nouveau groupe d'attaquants s'est fait connaître : il s'agit du groupe BlackMatter.
Ce groupe fait l'acquisition d'accès aux réseaux des entreprises ayant déjà été piratées afin de lancer une nouvelle vague d'attaques.
Revenus minimums des entreprises ciblées par le groupe BlackMatter
100 mnde dollars
BlackMatter privilégie, à l’heure actuelle, les grandes entreprises présentant des revenus d’au moins 100 millions de dollars et possédant un parc informatique important (entre 500 et 15 000 machines et équipements).
Les victimes connues sont majoritairement situées aux États-Unis, au Royaume-Uni, au Canada et en Australie. En faisant des recherches sur ce nouveau groupe, un outil de déchiffrement d’une des victimes de BlackMatter a été découvert par Bleepingcomputer et partagé à Fabian Wosar2, le Chief Technical Officier d’Emsisoft et expert en ransomware.
Après avoir analysé le décrypteur, Wosar a confirmé que les méthodes de chiffrement, y compris une matrice Salsa20 personnalisée, étaient les mêmes que celles utilisées par DarkSide.
Cette analyse, à la vue du passif de DarkSide, vient faire planer le doute sur les déclarations du représentant du groupe BlackMatter se présentant comme un groupe “éthique” se refusant d’attaquer les hôpitaux et les infrastructures critiques.
Microsoft propose des solutions pour mitiger la faille PrintNightmare, utilisée pour attaquer les serveurs Windows
Au début du mois de juillet, une vulnérabilité d’exécution de code à distance dans le spouleur d’impression Windows a été révélée3.
Pendant le mois d’août, Microsoft a publié d’urgence une mise à jour4 pour corriger cette vulnérabilité. Cette dernière (CVE-2021-34527), associée à d’autres (CVE-2021-16755 et CVE-2021-369586), est une faille de sécurité appelée PrintNightmare qui affecte toutes les versions du système d’exploitation Microsoft Windows depuis Windows 7, et qui peut permettre à un attaquant d’élever ses privilèges et d’exécuter un code malveillant à distance.
Microsoft a publié des correctifs de sécurité pour CVE-2021-1675 et CVE-2021-34527 en juin, juillet et août, ne laissant que la vulnérabilité CVE-2021-36958 sans correctif, mais propose des solutions de contournement pour cette dernière.
La première solution se concentre sur la désactivation du spouleur d’impression Windows, ce qui empêchera les utilisateurs d'imprimer à la fois localement et à distance. La deuxième solution nécessite aux administrateurs et aux utilisateurs de désactiver l'impression à distance via la Stratégie de Groupe. Cela bloquera les attaques à distance car empêchera les opérations d'impression à distance, mais le système cessera de fonctionner en tant que serveur d'impression. Cependant, l'impression via des appareils directement connectés sera toujours possible.
Bien que, pour l’instant, seul le groupe de pirates informatique Magniber exploite activement ces vulnérabilités, nous pourrions bientôt voir d'autres groupes suivre cette voie compte tenu des preuves publiées démontrant l’efficacité de ces vulnérabilités.
Ransomware : le groupe Ragnarok arrête ses activités et publie un outil de déchiffrement
Le groupe d’attaquant Ragnarok a décidé de mettre un terme à ses activités, avant de disparaître ils ont néanmoins fermé leur site en affichant un message destiné aux victimes.
Ce message était accompagné d’un tutoriel ainsi que des clés maîtresses utilisées par le groupe, ces éléments permettant aux victimes de déchiffrer leurs données7. Voyant plusieurs organismes de sécurité enquêter sur leurs activités, le groupe a très certainement fait le choix de stopper ses activités et de partager un outil pour s'offrir un peu d'air.
Malheureusement cela n'arrivera pas : le groupe a réussi à pirater des entreprises d'envergure, notamment EDP, un géant portugais de l'énergie, l'armateur français CMA-CGM ou encore le fabricant de spiritueux Campari Group et même Capcom8.
Par ailleurs, les États -Unis ont récemment annoncé considérer les attaques par Ransomware comme une menace pour la sécurité nationale. Cela implique des sanctions non seulement plus sévères pour les auteurs, mais également un renforcement des moyens mis à disposition pour les enquêteurs.
Siemens et Schneider Electric présentent plus de 50 failles découvertes
Siemens et Schneider Electric ont publié, pour le Patch Tuesday d’Août 2021, des informations sur plus de 50 vulnérabilités9.
Siemens a attribué un niveau de gravité élevé à un problème d'authentification manquant affectant les automates SIMATIC S7-1200 du géant industriel allemand. Un attaquant peut exploiter la faille pour contourner l'authentification et télécharger des programmes arbitraires dans l'automate.
Il décrit, pour JT2Go et Teamcenter Visualization, deux failles de gravité élevée pouvant entraîner un déni de services (DoS) ou l'exécution de code arbitraire, et un problème de gravité moyenne pouvant entraîner la divulgation d'informations. Les avis pour ces produits traitent généralement de nombreux CVE car les défauts sont similaires, mais ils sont déclenchés à l'aide de formats de fichiers différents.
Une autre publication de Siemens, qui couvre une douzaine de CVE, décrit l'impact des vulnérabilités des produits Intel sur les systèmes industriels de Siemens. Siemens a publié des mises à jour pour plusieurs des produits concernés et travaille sur des correctifs BIOS pour les produits restants.
Schneider Electric a publié mardi huit nouvelles alertes couvrant un total de 25 vulnérabilités.
Le géant industriel a publié deux articles décrivant l'impact des vulnérabilités de Windows sur ses panneaux de contrôle NTZ Mekhanotronika Rus. Le premier concerne une vulnérabilité d'exécution de code à distance de la pile de protocole HTTP, que Microsoft a corrigée en mai, et le deuxième concerne deux problèmes liés au service Windows Print Spooler, y compris la faille notoire PrintNightmare vu précédemment.
Schneider Electric a également publié un article couvrant une douzaine de vulnérabilités affectant les utilitaires de compresseur (XMilI) et de décompresseur (XDemill) d'AT&T Labs, qui sont utilisés dans certains des produits EcoStruxure et SCADAPack de la société. Le logiciel concerné n'est plus pris en charge par AT&T Labs, donc aucun correctif ne sera publié par le fournisseur. Toutefois Schneider prévoit de résoudre les problèmes dans ses propres produits à l'avenir.
CISA publie des recommandations pour atténuer les risques d’attaque par ransomware
L'agence américaine Cybersecurity and Infrastructure Security Agency (CISA) est une agence mise en place afin de coordonner les programmes de cybersécurité et d'améliorer la protection du gouvernement contre des cybers attaquants.
Conformément à son rôle, la CISA a publié des recommandations permettant de prévenir les risques d’attaques de type ransomware.
Ces recommandations ont été publiées en réponse à la plupart des attaques de ransomware continues ciblant les secteurs public et privé des États-Unis, tels que Colonial Pipeline10, JBS Foods et les violations de données des clients Kaseya11. Les informations sensibles volées ont ensuite été utilisées comme levier dans les négociations de rançon sous la menace de les divulguer publiquement.
"Toutes les organisations risquent d'être victimes d'un incident de ransomware et sont responsables de la protection des données sensibles et personnelles stockées sur leurs systèmes.", déclare la CISA12.
L'agence fédérale conseille de mettre en œuvre les recommandations suivantes pour prévenir les attaques de ransomware :
- Maintenir hors ligne des sauvegardes chiffrées des données et tester régulièrement ces sauvegardes ;
- Créer, maintenir et appliquer un plan de réponse aux cyber incidents de base13, un plan de résilience14 et un plan de communication associés ;
- Limiter les vulnérabilités et les erreurs de configuration sur les applications disponibles depuis Internet pour réduire les vecteurs d'attaques ;
- Réduire le risque que les e-mails de phishing n'atteignent les utilisateurs finaux en activant des filtres anti-spam puissants et en mettant en œuvre des programmes de sensibilisation et de formation des utilisateurs ;
- Pratiquer une bonne cyber hygiène (utiliser des solutions anti-malware à jour, activer l'authentification multi facteur et limiter le nombre de comptes privilégiés).
Afin de protéger les informations sensibles ou personnelles des employés contre les tentatives d'exfiltration, CISA recommande également de :
- Mettre en œuvre les meilleures pratiques de sécurité physique15
- Mettre en œuvre les meilleures pratiques de cybersécurité (ne pas stocker de données sensibles sur des appareils exposés à Internet, chiffrer les informations sensibles au repos et en transit, utiliser des pares-feux, segmenter le réseau)
- S’assurer que les plans de réponse aux cyber incidents et de communication incluent des procédures de réponse et de notification pour les incidents de violation de données.
L'agence fédérale a également publié un nouvel outil d'audit de sécurité d'auto-évaluation des ransomwares16 en juin pour aider les organisations à risque à évaluer leurs pratiques de cybersécurité sur leurs réseaux grâce à un processus étape par étape. L'outil leur permet également de se défendre et de se remettre des attaques de ransomware ciblant leurs actifs de technologie de l'information (TI), de technologie opérationnelle (OT) ou de système de contrôle industriel (ICS).
Conclusion
Ces individus-là ne descendent pas dans les rues, ne cassent pas de vitrines, ils agissent derrière leurs écrans, anonymes et beaucoup plus dangereux.
Le marché mis en place par les attaquants est un marché d’opportunités, aucun produit et aucune entreprise n’est à l’abri.
La disparition annoncée de certains groupes et l’apparition soudaine d’autres utilisant les mêmes méthodologies que ces groupes “disparus” ne font que mettre en exergue l’importance vitale et la responsabilité de chaque organisation.
La protection des données sensibles et personnelles, la gestion des vulnérabilités, la segmentation des droits et des accès, la formation et la sensibilisation, etc. Tous ces éléments, et bien d’autres encore, nous permettent de garantir un renforcement constant de la sécurité.
Pour aller plus loin
Les dirigeants, les conseils d'administration et les responsables de la cybersécurité ne sont pas toujours informés des menaces que suscitent les nouvelles formes émergentes de cybercriminalité. Ce bulletin propose une vision claire de ces menaces, qu’elles soient sectorielles, informatiques ou mobiles. Il présente les dernières tendances ainsi qu’une version synthétique des rapports proposés chaque semaine à nos clients. N’hésitez pas à nous contacter pour plus d’informations
Nos atouts
- Le Lab : 600m2 dédiés à la recherche et au développement à l’innovation et à la transformation numérique.
- War Room : Un environnement hautement sécurisé exploitant des solutions collaboratives et des technologies propriétaires innovantes.
- Cyber Teams : L’équipe EY France cybersécurité est composée d’experts pluridisciplinaires, proposant des solutions nouvelles pour résoudre des problématiques stratégiques pour nos clients.
- CyberEye : Une solution leader de Cyber Threat Intelligence solution, apportant une connaissance précise des cybermenaces pouvant toucher les entreprises.
- ASC and CTI : Nos 63 Advanced Security Centers, situés dans de nombreux pays, partagent des renseignements opérationnels et centrés vers les entreprises pour notre Cyber Threat Intelligence.
Inscrivez-vous à notre newsletter
Ne manquez pas les prochaines éditions du Bulletin Cyber, inscrivez-vous à notre newsletter mensuelle.