Une épidémie de ransomware qui a frappé la société d’hébergement cloud QuickBooks iNSYNQ à la mi-juillet semble avoir commencé par une attaque de phishing par e-mail qui a piégé un employé travaillant dans les ventes de l’entreprise, a appris BreachTrace. Il semble également que les intrus aient passé environ dix jours à fouiller le réseau interne d’iNSYNQ pour organiser correctement les choses avant de déclencher le ransomware. iNSYNQ a finalement refusé de payer la demande de rançon et travaille toujours pour restaurer complètement l’accès des clients aux fichiers.
Certains de ces détails sont venus lors d’une réunion virtuelle de «mairie» tenue le 8 août, au cours de laquelle le directeur général d’iNSYNQ Elliot Luchansky a informé les clients de la manière dont tout cela s’est passé et de ce que l’entreprise fait pour éviter de telles pannes à l’avenir.
Un grand nombre de clients d’iNSYNQ sont des comptables, et lorsque l’entreprise a mis son réseau hors ligne le 16 juillet en réponse à l’épidémie de ransomware, certains de ces clients se sont tournés vers les médias sociaux pour se plaindre qu’iNSYNQ les bloquait.
« Nous aurions certainement pu être mieux préparés, et c’est totalement inacceptable », a déclaré Luchansky aux clients. « J’en assume l’entière responsabilité. Les gens qui attendent des quantités de temps ridicules pour une réponse sont inacceptables.
Pour expliquer la réticence initiale d’iNSYNQ à partager des informations sur les détails de l’attaque dès le début, Luchansky a déclaré aux clients que l’entreprise devait supposer que les intrus surveillaient et écoutaient tout ce qu’iNSYNQ faisait pour récupérer les opérations et les données à la suite de l’épidémie de ransomware. .
« Cela a été fait de manière stratégique pour une bonne raison », a-t-il déclaré. « Il y avait des êtres humains impliqués dans [carrying out] cette attaque en temps réel, et nous avons dû supposer qu’ils surveillaient tout ce que nous pouvions dire. Et cela posait des risques sur la base de ce que nous avons dit publiquement pendant les négociations sur la rançon. Il aurait pu être utilisé d’une manière qui aurait encore plus exposé les clients. Cela nous a mis dans une situation très difficile, car la transparence est quelque chose que nous prenons très au sérieux. Mais nous avons décidé qu’il était dans l’intérêt de nos clients de ne pas le faire.
Une annonce payante qui apparaît en bonne place lorsque l’on recherche « insynq » dans Google.
Luchansky n’a pas précisé combien les intrus exigeaient, mais il a mentionné deux facteurs clés qui ont motivé la décision de l’entreprise de ne pas payer.
« C’était un montant très important, mais nous avions viré l’argent et étions prêts à le payer en crypto-monnaie au cas où cela aurait du sens », a-t-il déclaré aux clients. « Mais nous avons aussi compris [that paying] mettrait une cible sur nos têtes à l’avenir, et même si nous recevions réellement la clé de déchiffrement, ce n’était pas vraiment le problème principal ici. Grâce à la réaction rapide que nous avons eue, nous avons pu confiner la partie cryptage » à environ 50 % des systèmes clients, a-t-il déclaré.
Luchansky a déclaré que les intrus avaient ensemencé son réseau interne avec MégaCortex, une puissante nouvelle souche de ransomware repérée pour la première fois il y a quelques mois à peine et utilisée dans des attaques ciblées contre les entreprises. Il a déclaré que l’attaque semble avoir été soigneusement planifiée à l’avance et exécutée « avec une intervention humaine tout au long du processus ».
« Ils ont décidé qu’ils s’en prenaient à nous », a-t-il dit. « C’est une chose de se préparer à ce genre d’événements, mais c’est une expérience totalement différente à vivre de première main. »
Selon une analyse de MegaCortex publiée cette semaine par Accenture iDefenseles escrocs à l’origine de cette souche de rançongiciel ciblent les entreprises – et non les utilisateurs à domicile – et exigent des paiements de rançon de l’ordre de 2 à 600 bitcoins, soit environ 20 000 à 5,8 millions de dollars.
« Nous travaillons pour le profit », lit la note de rançon laissée par la dernière version de MegaCortex. « Le cœur de cette activité criminelle est de restituer vos précieuses données sous leur forme originale (contre rançon bien sûr). »
Une partie de la note de rançon laissée par la dernière version de MegaCortex. Image : Accenture iDefense.
Lors de la réunion publique, Luchansky n’a pas mentionné exactement quand l’attaque de phishing initiale aurait eu lieu, notant qu’iNSYNQ travaille toujours avec la société californienne FouleStrike pour obtenir une image plus complète de l’attaque.
Mais Alex Holdenfondateur de la société de cyber-intelligence basée à Milwaukee Garder la sécuritéa montré les informations de BreachTrace obtenues en surveillant les communications du dark web qui suggéraient que le problème avait commencé le 6 juillet, après qu’un employé de la division des ventes d’iNSYNQ soit tombé dans un e-mail de phishing ciblé.
« Cela montre que même après l’infection initiale, si les entreprises agissent rapidement, elles peuvent toujours détecter et arrêter le ransomware », a déclaré Holden. « Pour ces infections, les pirates prennent parfois des jours, des semaines, voire des mois pour chiffrer vos données. »
iNSYNQ n’a pas répondu aux demandes de commentaires sur les conclusions de Hold Security.
Lorsqu’on lui a demandé si l’entreprise disposait de sauvegardes des données client et, dans l’affirmative, pourquoi iNSYNQ avait décidé de ne pas restaurer à partir de celles-ci, Luchansky a déclaré qu’il y avait des sauvegardes, mais que certaines d’entre elles étaient également infectées.
« Le système de sauvegarde sauvegarde le système principal, et cela implique par définition un certain niveau d’intégration », a expliqué Luchansky. « La façon dont notre système a été conçu, le malware s’est également propagé dans les sauvegardes, au moins un peu. Alors [by] en réactivant simplement les sauvegardes, il y avait de fortes chances que le virus commence alors à se propager davantage dans le système de sauvegarde. Nous avons donc dû traiter les sauvegardes de la même manière que nous traitions les systèmes principaux. »
Luchansky a déclaré que leur système de sauvegarde avait depuis été révisé et que si une attaque similaire se produisait à l’avenir, il faudrait des jours au lieu de semaines pour récupérer. Cependant, il a refusé d’entrer dans les détails sur exactement ce qui avait changé, ce qui est dommage car dans chaque histoire d’attaque de ransomware que j’ai écrite, cela semble être le détail qui intéresse et discute la plupart des lecteurs.
Le PDG a ajouté qu’iNSYNQ s’associera également à une entreprise qui aide les entreprises à détecter et à bloquer les attaques de phishing ciblées, et qu’il envisageait de pouvoir l’offrir à ses clients à un tarif réduit. D’après les réponses de Luchansky aux questions, il n’était pas clair si la société d’hébergement cloud envisageait également tout type de service de formation et/ou de test anti-hameçonnage pour les employés.
Luchansky a déclaré qu’iNSYNQ était en mesure de restaurer l’accès à plus de 90 % des fichiers clients le 2 août – environ deux semaines après l’épidémie de ransomware – et que la société offrirait aux clients un crédit de deux mois à la suite de la panne.