Celui qui n’aurait pas dû faire autant confiance à son VPN (1/2)
Cet éditeur parisien est touché par un rançongiciel en novembre 2021. Mais cette attaque informatique n'a vraiment rien de classique.
Bonsoir,
Merci pour votre fidélité et bienvenue pour ce nouvel épisode de Pwned, votre newsletter sur le cybercrime.
Après vous avoir parlé la dernière du hack rocambolesque des comptes Twitter de célébrités, on va cette fois-ci se pencher sur une histoire bien de chez nous. Un dossier qui rappelle également qu’une fois que le diable est sorti de la boîte… hé bien, il reste en dehors de la boîte.
Mais tout d’abord, si vous n’êtes pas inscrit, voici le formulaire à remplir pour recevoir directement dans votre boîte mail les prochaines histoires. N’hésitez pas également à partager autour de vous cette newsletter.
C’est la cata informatique. On peut résumer ainsi la situation de cet éditeur parisien de logiciels pour les professionnels de la finance. Dans la soirée du 29 novembre 2021, la boîte - qu’on ne va pas nommer précisément ici, ça n’apporte pas grand-chose à l’histoire - a découvert une note de rançon dans ses fichiers.
Elle est donc visiblement la victime d’une attaque par rançongiciel. Ces piratages informatiques destinés à extorquer une rançon ont explosé en 2021 en France, avec 496 nouvelles enquêtes ouvertes pour ce genre de raid (contre 260 en 2020 et… 17 en 2019).
Comment ça marche ce genre de truc? Le schéma général n’est pas très compliqué à comprendre. Après avoir accédé au réseau informatique de sa cible et pris la main dessus, en devenant l’un des administrateurs, l’attaquant déploie un rançongiciel. Ce genre de logiciel malveillant est destiné à chiffrer en un temps record un maximum de données. Autant de documents qui sont dès lors illisibles, sauf si vous avez la clé de déchiffrement.
Pour s’en sortir, la victime doit soit passer à la caisse et payer la rançon pour récupérer cette clé, soit compter sur une sauvegarde qu’elle aurait faite pour restaurer les fichiers perdus.
Pour notre éditeur de logiciels pour la finance, c’est justement là que ça coince. Ses sauvegardes de sécurité qui étaient pourtant stockées sur un autre cloud ont disparu. Ces sauvegardes hébergées chez Scaleway ont été supprimées manuellement dans la matinée du 29 novembre après un simple clic sur le bouton “Delete bucket”.
Ce genre de mésaventure est assez courant. Les pirates informatiques ne sont pas stupides. Ils savent que si vous avez un backup, vous allez les envoyer paître avec leur demande de rançon. Donc s'ils en ont la possibilité, ils suppriment les sauvegardes ou ils les chiffrent.
Rien d’étonnant également à voir que l’attaque informatique a été précédée, selon le rapport d’analyse du prestataire de remédiation, d’une intrusion le dimanche 28 novembre. Elle avait visé au petit matin le serveur contenant les bases de données internes. Quelques dizaines de minutes plus tard, un second serveur, dédié aux opérations de test, était à son tour visé. Enfin, le lendemain, de nouvelles connexions suspectes étaient enregistrées, conduisant au téléchargement et à l’installation de rançongiciel.
S’il y a des traces d’adresses IP, elles conduisent les enquêteurs de police dans une impasse. L’une d’entre elles est ainsi localisée en Turquie. Elle correspond à une adresse du réseau privé virtuel NordVPN, ce service d’anonymisation en ligne qui sponsorise à tout va les influenceurs youtube.
Avant de poursuivre, un petit cours d'histoire s'impose. Si on remonte très loin, le premier rançongiciel date de la fin des années 80. Toutefois, il va falloir attendre ensuite le malware Cryptolocker en 2013 pour vraiment poser les bases de la vague de ransomware moderne. L’équation de l’innovation est courte: plus de cibles + un paiement de l’extorsion simplifié avec les crypto-monnaies. S’ensuit ensuite la dernière mutation majeure de ce mode opératoire criminelle, avec le ciblage de grosses organisations, le “Big Game Hunting”, la chasse au gros poisson.
Au moment de notre histoire, la firme spécialisée VirusTotal dénombre ainsi 130 familles de rançongiciels différentes, la plus active étant celle autour de GandCrab. Est-ce ce rançongiciel ou l’une de ses variantes qui est détectée chez l’éditeur parisien? Non, et je pense que les enquêteurs ont dû se frotter deux fois les yeux avant d’y croire. Car dans la liste des fichiers sur la machine, il y a un nouvel exécutable dénommé “@WanaDecryptor@”, l’application censée permettre le déchiffrement des fichiers. En dessous, il y a un fichier dont le nom a été rallongé par l’extension .WNCRY.
Ce sont deux marqueurs techniques qui prouvent que le rançongiciel utilisé dans cette histoire n'est autre que WannaCry. L’origine du logiciel malveillant sera d’ailleurs ensuite éclaircie. Les attaquants l’ont vraisemblablement téléchargé depuis “The Zoo”, un projet destiné aux professionnels de la sécurité pour l’étude des programmes malveillants.
Ce logiciel auto-répliquant (sa marque de fabrique) a fait trembler l'internet en mai 2017 avant d’être stoppé miraculeusement par Marcus Hutchins. C’était visiblement une expérience ratée de hackers nord-coréens. C’est étrange de le retrouver en novembre 2021 dans un piratage: WannaCry accuse désormais le poids des ans. L’entreprise parisienne est-elle la dernière improbable victime du malware? Cela arrive de temps en temps mais c'est rare. Ou est-ce qu’il a été déployé volontairement par quelqu’un?
Le premier cas de figure est rapidement écarté : la suppression manuelle des sauvegardes a bien été réalisée par un intrus qui savait ce qu'il faisait. Reste la deuxième hypothèse mais elle soulève aussi de nombreuses questions. Car pourquoi utiliser un tel rançongiciel sans modifier les deux adresses de portefeuilles bitcoin destinées à recueillir la rançon? Ce sont celles qui ont été repérées en 2017 lors du cataclysme de mai. Dit autrement, la rançon demandée n’est pas encaissable.
Autre incongruité : seul un disque de fichiers a été chiffré. Quant au montant de la rançon, il est étonnamment bas : 300 dollars. Là encore, c’est le montant qui avait été programmé au départ de l’attaque WannaCry. Dernier détail troublant : la personne qui a déployé WannaCry a oublié de configurer le mail permettant d’entrer en contact avec le rançonneur.
Cette soi-disant attaque par rançongiciel cache donc autre chose. La personne à l’origine de l’attaque ne cherche pas en fait à récupérer une rançon, dont le montant d’ailleurs est ridicule par rapport aux standards du moment, ce n’est pas de l’extorsion. Cela ressemble plutôt à de la malveillance ou de la vengeance, et ça c’est un sacré indice.
On voit la suite la semaine prochaine,
Bonne soirée,
Relecture: Mnyo
PS: Et si l’histoire vous a plu, vous savez ce qu’il faut faire, vous pouvez liker les publications ou les signaler autour de vous. Si vous voulez enfin me payer un café, c’est par ici (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources
Rançongiciels : première baisse des enquêtes en France depuis 2020
Ransomware : retour sur les racines du mal ou l’étrange cas du Dr Popp
Bitcoin et hacker en pyjama : l’histoire de Cryptolocker, le premier ransomware moderne
Notorious GandCrab hacker group 'returns from retirement’
Celui qui s'était trompé de chemin (1/3)
WannaCry ransomware is still infecting PCs - and some victims are still trying to pay the ransom