[ad_1]

Les organisations en proie au nettoyage après une épidémie de ransomware changent généralement les mots de passe de tous les comptes d’utilisateurs qui ont accès à tous les systèmes de messagerie, serveurs et postes de travail de bureau au sein de leur réseau. Mais trop souvent, les victimes de ransomwares ne comprennent pas que les escrocs à l’origine de ces attaques peuvent siphonner et souvent siphonnent chaque mot de passe stocké sur chaque terminal infecté. Le résultat de cette surveillance peut offrir aux attaquants un moyen de revenir dans l’organisation affectée, d’accéder à des comptes financiers et de soins de santé ou, pire encore, des outils clés pour attaquer les différents partenaires commerciaux et clients de la victime.

À la mi-novembre 2019, basée au Wisconsin Fournisseur de soins virtuels Inc. (VCPI) a été touché par la souche de rançongiciel Ryuk. VCPI gère les systèmes informatiques de quelque 110 clients qui desservent environ 2 400 maisons de soins infirmiers dans 45 États américains. VCPI a refusé de payer la rançon de plusieurs millions de dollars exigée par ses extorqueurs, et l’attaque a coupé bon nombre de ces établissements de soins aux personnes âgées de leurs dossiers patients, de leur courrier électronique et de leur service téléphonique pendant des jours ou des semaines pendant que VCPI reconstruisait son réseau.

Quelques heures seulement après la publication de cette histoire, le directeur général et propriétaire de VCPI Karen Christianson a tendu la main pour dire qu’elle espérait que j’écrirais un article de suivi sur la façon dont ils se sont remis de l’incident. Ma réponse a été que j’envisagerais de le faire s’il y avait quelque chose dans leur expérience que je pensais que d’autres pourraient apprendre de leur gestion de l’incident.

Je n’avais aucune idée à l’époque de tout ce que j’apprendrais dans les jours à venir.

E-MAILS ÉTRANGÈRES

Le 3 décembre, j’ai contacté Christianson pour programmer un entretien de suivi pour le lendemain. Le matin du 4 décembre (moins de deux heures avant mon appel prévu avec VCPI et plus de deux semaines après le début de leur attaque de ransomware), j’ai entendu par e-mail quelqu’un prétendant faire partie du groupe criminel qui a lancé le ransomware Ryuk. à l’intérieur du VCPI.

Cet e-mail était troublant parce que son timing suggérait que celui qui l’avait envoyé savait d’une manière ou d’une autre que j’allais parler avec VCPI plus tard dans la journée. Cette personne a dit qu’elle voulait que je réitère un message qu’elle venait d’envoyer au propriétaire de VCPI indiquant que son offre d’un prix considérablement réduit pour une clé numérique nécessaire pour déverrouiller les serveurs et les postes de travail saisis par le logiciel malveillant expirerait bientôt si l’entreprise continuait les ignorer.

« Peut-être que vous discutez avec eux, voyons si cela fonctionne », suggérait l’e-mail.

L’individu anonyme derrière cette communication a refusé de fournir la preuve qu’il faisait partie du groupe qui détenait le réseau de VPCI contre rançon, et après un échange de messages de plus en plus combatif et personnellement menaçant, a rapidement cessé de répondre aux demandes d’informations supplémentaires.

« Nous avons été mordus par la publication de preuves avant, donc nous avons arrêté cela même dans nos rançons », a écrit la personne anonyme. « Si vous voulez une preuve, nous avons également piraté T-Systems. Vous pouvez le confirmer avec eux. Nous n’avons pas [sic] vu des articles de médias à ce sujet et en tant que tel, vous devriez être le premier à le signaler, nous sommes sûrs qu’ils le gardent secret. Site d’information sur la sécurité Bleeping Computer a signalé l’attaque du rançongiciel T-Systems Ryuk le 3 décembre.

Dans notre interview du 4 décembre, le directeur de la sécurité de l’information par intérim de VCPI — Marc SchäferCISO chez Wisconsin Conseil SVA – a confirmé que l’entreprise avait reçu un message presque identique le même matin et que le libellé semblait « très similaire » à la demande d’extorsion d’origine reçue par l’entreprise.

Cependant, Schafer m’a assuré que VCPI avait effectivement reconstruit son réseau de messagerie suite à l’intrusion et avait strictement utilisé un service tiers pour discuter des efforts de remédiation et d’autres sujets sensibles.

 » COMME UNE ENTREPRISE QUI LUTTE CONTRE UN PAYS « 

Christianson a déclaré que plusieurs facteurs avaient empêché la douloureuse attaque du rançongiciel Ryuk de se transformer en un événement mettant fin à l’entreprise. Pour commencer, a-t-elle déclaré, un employé a repéré une activité suspecte sur son réseau aux petites heures du matin du samedi 16 novembre. Elle a déclaré que cet employé avait alors immédiatement alerté les supérieurs de VCPI, qui avaient ordonné un arrêt complet et immédiat de l’ensemble du réseau. .

« En fin de compte, à 2 heures du matin un samedi, c’était toujours un être humain qui a vu un tas de lumières et qui avait suffisamment de présence d’esprit pour dire que quelqu’un d’autre pourrait vouloir jeter un coup d’œil à cela », a-t-elle déclaré. « L’autre gars qu’il a appelé a dit qu’il n’aimait pas ça non plus et a appelé le [chief information officer] à 2h30 du matin, qui a décroché son téléphone portable et a dit de le couper d’Internet.

Schafer a déclaré qu’un autre facteur atténuant était que VCPI avait passé un contrat avec un tiers environ six mois avant l’attaque pour établir des sauvegardes de données hors site qui n’étaient pas directement connectées à l’infrastructure de l’entreprise.

« L’authentification pour cela était entièrement séparée, donc le mouvement latéral [of the intruders] ne leur a pas permis de toucher à cela », a déclaré Schafer.

Schafer a déclaré que le passage à des sauvegardes de données tierces a coïncidé avec un examen interne complet qui a identifié plusieurs domaines dans lesquels VCPI pourrait renforcer sa sécurité, mais que l’attaque a frappé avant que l’entreprise ne puisse terminer le travail sur certains de ces éléments d’action.

« Nous avons fait une évaluation des risques qui était à peu près précise, nous avions juste besoin de plus de temps pour y travailler avant d’être touchés », a-t-il déclaré. «Nous faisions les bonnes choses, mais pas assez vite. Si nous avions eu plus de temps pour nous préparer, cela se serait mieux passé. J’ai l’impression que nous étions une entreprise luttant contre un pays. Ce n’est pas un combat loyal, et une fois que vous êtes ciblé, il est assez difficile de se défendre.

VOL DE MOT DE PASSE EN GROS

Juste après avoir reçu un conseil d’un lecteur sur l’infestation en cours de Ryuk chez VCPI, BreachTrace a contacté Milwaukee Garder la sécurité pour voir si son propriétaire Alex Holden avait plus d’informations sur l’attaque. Holden et son équipe avaient déjà intercepté le trafic en ligne entre et parmi plusieurs gangs de ransomwares et leurs victimes, et j’étais curieux de savoir si cela était également vrai dans l’attaque VCPI.

Effectivement, Holden a rapidement envoyé plusieurs journaux de données suggérant que les attaquants avaient violé le réseau de VCPI à plusieurs reprises au cours des 14 mois précédents.

« Bien qu’il soit clair que la violation initiale s’est produite il y a 14 mois, l’escalade du compromis n’a commencé que vers le 15 novembre de cette année », a déclaré Holden à l’époque. « Lorsque nous avons examiné cela rétrospectivement, au cours de ces trois jours, les cybercriminels ont lentement compromis l’ensemble du réseau, désactivant l’antivirus, exécutant des scripts personnalisés et déployant des rançongiciels. Ils n’ont même pas réussi au début, mais ils ont continué d’essayer.

Holden a déclaré qu’il semble que les intrus aient jeté les bases du VPCI en utilisant émoticôneun outil malveillant puissant généralement diffusé via le spam.

« Emotet continue d’être parmi les logiciels malveillants les plus coûteux et les plus destructeurs », lit une alerte de juillet 2018 sur le logiciel malveillant du Département américain de la sécurité intérieure. « Ses caractéristiques semblables à des vers entraînent une propagation rapide des infections à l’échelle du réseau, difficiles à combattre. »

Selon Holden, après avoir utilisé Emotet pour amorcer les serveurs et les terminaux de VCPI pour l’attaque par ransomware, les intrus ont déployé un module d’Emotet appelé Trickbotqui est un cheval de Troie bancaire souvent utilisé pour télécharger d’autres logiciels malveillants et récupérer les mots de passe des systèmes infectés.

En effet, Holden a partagé des enregistrements de communications des bourreaux de VCPI suggérant qu’ils avaient déclenché Trickbot pour voler les mots de passe des points de terminaison VCPI infectés que l’entreprise utilisait pour se connecter à plus de 300 sites Web et servicesy compris:

-Plateformes de gestion des identités et mots de passe Auth0 et LastPass
-Plusieurs portails bancaires personnels et commerciaux ;
-Comptes Microsoft Office365
-Portails de dépôt direct et de facturation Medicaid
-Portails de gestion d’assurance maladie basés sur le cloud
-De nombreux services de traitement des paiements en ligne
-Services de gestion de la paie basés sur le cloud
-Services de gestion des ordonnances
-Services de téléphonie commerciale, d’Internet et d’électricité
-Services de fournitures médicales
-Portails d’appels d’offres des gouvernements d’État et locaux
-Réseaux de distribution de contenu en ligne
-Comptes d’expédition et d’affranchissement
– Comptes Amazon, Facebook, LinkedIn, Microsoft, Twitter

Vers la fin de mon entretien de suivi avec Schafer et Christianson de VCPI, j’ai partagé la liste de Holden des sites pour lesquels les attaquants avaient apparemment volé les informations d’identification internes de l’entreprise. À ce moment-là, Christianson a brusquement mis fin à l’entretien et a quitté la ligne, disant qu’elle avait des affaires personnelles à régler. Schafer m’a remercié d’avoir partagé la liste, notant qu’il semblait que VCPI avait probablement maintenant « quelques notifications supplémentaires à faire ».

Morale de l’histoire : les entreprises qui subissent une attaque de ransomware – ou d’ailleurs tout type d’infestation de logiciels malveillants tout aussi envahissants – doit supposer que toutes les informations d’identification stockées n’importe où sur le réseau local (y compris celles enregistrées dans les navigateurs Web et les gestionnaires de mots de passe) sont compromises et doivent être modifiées.

Par prudence, ce processus doit être effectué à partir d’un système vierge (de préférence non basé sur Windows) qui ne réside pas dans le réseau compromis par les attaquants. En outre, il convient d’utiliser pleinement la méthode la plus puissante disponible pour sécuriser ces mots de passe avec une authentification multifacteur.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *