Attaque par ransomware au CPAS de Charleroi : analyse du cas et prévention

Les attaques de ransomware ont été identifiées comme la principale cybermenace, selon le rapport ENISA Threat Landscape 2023. Les groupes de ransomware sont majoritairement motivés par les gains financiers et agissent de manière opportuniste. Comme nous allons le voir en exposant le cas du CPAS de Charleroi, l'impact d'un ransomware peut être majeur.

Qu'est-ce qu'un ransomware ?

Un ransomware, ou rançongiciel en français, est une forme de logiciel malveillant conçu pour bloquer l'accès à des systèmes informatiques ou à des fichiers critiques en les chiffrant.

L'attaquant exige ensuite une rançon en échange de la clé de déchiffrement, nécessaire pour restaurer les données. Les groupes ransomwares utilisent pour la plupart une stratégie de double extorsion en exfiltrant les données avant leur chiffrement et menace de publier ces données si la victime ne paie pas.

Ce type d'attaque, très répandu, cible particulièrement les entreprises et les institutions publiques, souvent en exploitant des failles de sécurité dans les systèmes ou les comportements humains via des attaques de phishing.

Les risques encourus

Les risques pour une entreprise sont multiples. Au-delà de la simple perte d'accès aux données, les ransomwares peuvent entraîner :

• Une paralysie complète des activités, affectant la production, les services, voire la crédibilité de l’organisation.

• Une perte financière directe liée au paiement de la rançon (si elle est payée) et aux coûts de récupération des systèmes.

• Des risques légaux, surtout si des données sensibles ou personnelles sont compromises, avec des conséquences réglementaires.

• Une perte de confiance des clients et des partenaires, après la divulgation d’un incident de sécurité.

Les différents types de ransomwares

Plusieurs groupes de ransomware sont devenus tristement célèbres pour leurs attaques dévastatrices contre des entreprises et des institutions à travers le monde. Parmi eux, certains se distinguent par leurs techniques sophistiquées et leurs impacts destructeurs :

• RansomHub est apparu au début 2024. Ce ransomware, souvent qualifié de "ransomware-as-a-service" (RaaS), permet à des groupes criminels de louer son infrastructure pour mener des attaques. En quelques mois, elle a déjà touché plus de 200 organisations dans divers secteurs, dont la santé, les services gouvernementaux, l'informatique et les services financiers. Group-IB indique « Le ransomware de RansomHub affecte les plateformes Windows, Linux et ESXi, et peut se propager automatiquement au sein d’un réseau interne. Il est capable de désactiver les interfaces réseau ou de passer en mode sans échec sur les systèmes Windows avant de procéder au chiffrement ». La croissance rapide de RansomHub est due en partie à sa capacité à attirer des affiliés qualifiés, dont beaucoup ont travaillé auparavant pour des groupes de ransomware notoires comme LockBit et BlackCat​

• LockBit : LockBit est l’un des ransomwares les plus actifs et prolifiques ces dernières années. Il fonctionne ainsi sous le modèle RaaS, ce qui permet à différents groupes criminels d’utiliser cette infrastructure pour mener leurs propres campagnes d'extorsion. LockBit 3.0, la dernière version, est notoire pour sa rapidité de chiffrement et son adaptabilité à divers environnements. LockBit est également responsable de plusieurs grandes attaques, dont celle qui a touché le CPAS de Charleroi (dont nous parlons plus tard dans cet article), soulignant la nécessité d'une prévention efficace.

• PLAY : relativement nouveau sur la scène des ransomwares, PLAY a déjà frappé plusieurs grandes organisations. Ce groupe se spécialise dans l’exploitation de failles de sécurité pour pénétrer les réseaux, déployer leur ransomware et chiffrer des systèmes critiques. Les techniques utilisées par PLAY incluent souvent des attaques par force brute sur des accès RDP (Remote Desktop Protocol) ou l’exploitation de failles non corrigées dans les infrastructures informatiques.

• REvil (Sodinokibi) : REvil est un autre exemple de ransomware en tant que service, avec une réputation pour cibler de grandes entreprises et demander des rançons extrêmement élevées. Ce groupe est aussi connu pour voler des données avant de les chiffrer, menaçant de les divulguer publiquement si la rançon n'est pas payée. Cette double extorsion rend REvil particulièrement redoutable, car il met la pression sur les victimes en menaçant autant leur continuité opérationnelle que leur réputation.

Ces ransomwares représentent des menaces sérieuses pour les entreprises. Leur sophistication croissante rend la prévention d'autant plus cruciale.

Incident Responder : comment répondre à une attaque par ransomware ?

Lorsqu'une entreprise est victime d'une attaque par ransomware, le rôle de l'Incident Responder devient crucial. De quoi parle-t-on ? On parle d’Incident Responder pour évoquer une personne ou une équipe de professionnels de la cybersécurité avec, pour mission, de coordonner la réponse à l'incident pour minimiser les dommages, restaurer les systèmes touchés et prévenir de futures attaques.

Voici les principales étapes suivies par l’Incident Responder en cas d’attaque par rançongiciel :

1. Préparation et formation : la mise en place de procédures claires de gestion des incidents, des outils de détection automatisée et des plans de continuité. Un Incident Responder travaille souvent en amont pour élaborer ces procédures, notamment à travers des simulations d’attaques (tests de pénétration) et des exercices de crise. L’équipe doit également être formée pour réagir efficacement et savoir qui contacter en cas d'incident (équipe IT, management, partenaires externes).
2. Détection et analyse : comme nous allons le voir avec le CPAS de Charleroi, le ransomware peut souvent rester indétecté pendant un certain temps, infiltrant progressivement le système avant de déclencher le chiffrement. Un Incident Responder doit être capable de repérer les signes d'une attaque imminente, comme une activité réseau suspecte, des connexions inhabituelles ou la désactivation d'antivirus. L'analyse forensic joue un rôle clé à ce stade : il s'agit d'identifier le vecteur d'intrusion (email de phishing, vulnérabilité exploitée, etc.), le ransomware utilisé et son mode opératoire (chiffrement des données, vol de fichiers, propagation au réseau).
3. Confinement : une fois l'attaque détectée, l'étape suivante est de contenir l'incident pour éviter que le ransomware ne se propage davantage. Cela implique d'isoler les machines infectées en les déconnectant du réseau et de couper immédiatement les connexions externes suspectes (par exemple, désactivation des VPN ou restrictions sur les pare-feux). Il est également crucial d’identifier les comptes compromis, notamment les comptes à privilèges, pour éviter que les attaquants ne puissent continuer à accéder aux systèmes.
4. Éradication : l’incident contenu, il est nécessaire de supprimer totalement le ransomware des systèmes infectés. L’Incident Responder doit analyser les fichiers infectés et les logs pour comprendre comment le ransomware s’est propagé et s’assurer que tous les éléments malveillants ont été supprimés. Cette phase peut inclure la réinstallation d’OS sur les machines compromises, la suppression des logiciels suspects, et la vérification de l'intégrité des sauvegardes avant leur restauration.
5. Récupération des systèmes : elle intervient après l'éradication. Elle consiste à restaurer les données à partir de sauvegardes saines, en s'assurant que le système n'est plus vulnérable à la même attaque. Les systèmes critiques doivent être remis en ligne avec précaution, en veillant à ce que des mesures de sécurité renforcées soient appliquées (mises à jour des correctifs, activation de l’authentification multifactorielle, etc.).
6. Leçons apprises et prévention future : l'incident maîtrisé, il est essentiel d’analyser ce qui s’est passé pour éviter de futures attaques. L'Incident Responder doit rédiger un rapport détaillant le vecteur d'attaque, les actions correctives prises et les recommandations pour renforcer la sécurité de l’entreprise. Cela inclut souvent l'amélioration des politiques de sécurité, la formation des utilisateurs, l'application rigoureuse des mises à jour et le test régulier des sauvegardes. Les leçons appliquées ici (en point 6), la phase de préparation (point 1) doit être retravaillée en fonction des enseignements.

Attaque par ransomware au CPAS de Charleroi : le cas expliqué

La nouvelle a fait du bruit en août 2023. Le CPAS de Charleroi a été victime d’une attaque de ransomware particulièrement dévastatrice, orchestrée par le groupe LockBit et plus précisément la version 3.0. Cette version date de mai 2022 et fonctionne en version Linux et Windows. Elle embarque un système intégré de communications entre le groupe et sa cible, avec des négociations rendues publiques. Les membres du groupe procèdent habituellement à une double, voire à une triple extorsion.

L’incident a été détecté suite à l’indisponibilité soudaine des services métiers, révélant que la majorité des serveurs avaient été chiffrés. Une note de rançon a rapidement confirmé l’utilisation du ransomware LockBit.

Comment en est-on arrivé là ?

L’attaque débute par des connexions VPN suspectes (98 jours avant l’incident !). Les pirates informatiques accèdent au réseau interne du CPAS via un compte administrateur compromis, utilisant des adresses IP inconnues ou suspectes.

Ces connexions sont réalisées à des heures inhabituelles, ce qui aurait dû déclencher des alertes de sécurité. Ce vecteur d’intrusion illustre l’importance de la surveillance continue des accès distants et de l’implémentation d’une authentification multifactorielle (MFA).

Revenons sur la ligne du temps des événements qui ont conduit à l’attaque :

• 97 jours avant l’incident, désormais infiltrés à l’intérieur du réseau, les attaquants effectuent une phase de reconnaissance. Ils déploient un implant appelé Cobalt Strike, un outil souvent utilisé pour des tests de pénétration, mais ici détourné à des fins malveillantes. Les pirates utilisent également des connexions RDP (Remote Desktop Protocol) pour explorer les ressources internes du réseau, ce qui leur permet de mieux comprendre l'infrastructure avant de lancer leur attaque.

• La préparation de l’exploitation a lieu 94 jours avant l’attaque. Dans cette phase, les attaquants commencent à préparer le terrain pour le déploiement du ransomware. Ils désactivent l’antivirus pour éviter la détection et commencent à altérer la solution de sauvegarde. Cela permet de s'assurer que les victimes ne pourront pas restaurer leurs données facilement après l'attaque, forçant ainsi le paiement de la rançon.

• Le jour de l'attaque principale, les attaquants accèdent au contrôleur de domaine (DC), le cœur du réseau, où ils téléchargent et déploient leur arsenal malveillant. Cela leur permet de prendre le contrôle total du réseau et de déployer les étapes finales de leur plan, y compris l'exécution du ransomware.

• À partir de 16:31 UTC, les attaquants commencent à collecter les hash des utilisateurs via l'outil Mimikatz, qui permet de capturer des identifiants en clair ou en hash pour les réutiliser plus tard. Ils effectuent également des scans réseaux pour identifier d'autres machines vulnérables sur lesquelles ils pourront propager l'attaque. À 21:40 UTC, ils sont prêts à consulter les données sensibles.

• Les attaquants accèdent aux disques physiques et réseaux connectés au DC, où ils consultent des données confidentielles telles que des documents d'identité, des contrats, et des informations financières. Cette étape permet aux pirates d'extraire des informations sensibles qui pourront être utilisées pour une double extorsion : menacer de publier les données, en plus de demander une rançon pour les restaurer.

• La même jour, à 23:22 UTC, le ransomware LockBit 3.0 est déployé. La propagation se fait via l'outil psexec, qui permet l'exécution de scripts à distance sur plusieurs machines. Outre l’exécution du fichier EXE, la suppression des fichiers dans la corbeille va rendre difficile la récupération des données. Les attaquants assurent la mise en place d’un fichier de rançon et d’une icône signalant la présence du ransomware. Enfin, l’attaque se termine par la modification et le renommage de la quasi-totalité des fichiers de données, rendant l’accès impossible sans payer la rançon.

Éradication et remise en état des systèmes

Face à cette situation critique, les équipes IT et les spécialistes en sécurité de NRB ont immédiatement entrepris des mesures d’urgence, telles que l' isolation des machines infectées, la coupure du trafic vers internet, ainsi qu’une analyse forensic approfondie des systèmes pour comprendre l'étendue des dégâts et identifier le point de compromission.

Une fois l'attaque par ransomware identifiée et contenue, le processus de remise en état des systèmes s’est articulée autour de plusieurs étapes visant à restaurer les services critiques tout en renforçant la sécurité des infrastructures.

• Un plan de relance est mis en œuvre pour établir un chemin de retour à la normale après l'attaque. Ce plan est essentiel pour coordonner les efforts de rétablissement tout en minimisant les interruptions de service. Afin de maintenir certains services critiques, des mesures alternatives temporaires sont déployées. Par exemple, des solutions de contournement pour le service des emails et les applications métiers permettent de restaurer des fonctions vitales avant que l’infrastructure principale ne soit totalement remise en place.

• Le processus de restauration commence par la reconstruction du cœur d’infrastructure. Cette phase implique de remettre en place les systèmes essentiels tels que les serveurs centraux, le réseau et les bases de données, garantissant ainsi une base solide pour le reste de l’organisation. Une fois le cœur d’infrastructure rétabli, les autres systèmes peuvent être restaurés. Cela comprend une procédure de sanitisation, visant à s’assurer que tous les logiciels et fichiers restaurés ne contiennent pas de résidus malveillants. La mise à jour des systèmes est également cruciale pour corriger les vulnérabilités qui ont pu être exploitées pendant l'attaque.

• Tous les comptes à privilèges et l’ensemble des utilisateurs voient leurs mots de passe réinitialisés pour empêcher toute nouvelle tentative d'intrusion. Cette étape est essentielle pour s'assurer que les attaquants ne puissent plus utiliser d’identifiants compromis. Afin de renforcer la sécurité des accès distants, l'authentification multifactorielle (MFA) est activée pour tous les accès externes. Cela ajoute une couche supplémentaire de protection en demandant un second facteur de vérification, comme un code généré sur un appareil mobile.

• Après la restauration, une surveillance accrue a été mise en place pour détecter toute activité suspecte ou résiduelle, assurant que le réseau est sécurisé et que le ransomware ou d’autres menaces ne réapparaissent pas.

• Enfin, une révision complète des politiques de sécurité a été effectuée. Cela inclut le renforcement des politiques de sécurité à travers des mises à jour des protocoles de sécurité, la formation des utilisateurs aux bonnes pratiques, et la mise en place de mécanismes de détection et de réponse plus efficaces pour éviter que ce type d’incident ne se reproduise.

Conclusion : recommandations pour renforcer la sécurité après une attaque par ransomware

L’attaque subie par le CPAS de Charleroi est riche d’enseignements. Elle nous donne l’occasion, grâce aux experts de Win et NRB, de formuler plusieurs recommandations pour renforcer la sécurité et éviter que de telles situations ne se reproduisent à l’avenir. Car oui, « une approche proactive et globale est indispensable pour prévenir et répondre efficacement aux attaques de ransomware », prévient Arnaud ROSETTE.

La prévention

Une des premières lignes de défense contre les ransomwares est la formation et la sensibilisation des employés aux bonnes pratiques de sécurité informatique. Toujours au niveau des collaborateurs, l’activation du MFA pour tous les accès externes est cruciale pour sécuriser les connexions distantes. Cette mesure permet d'ajouter une couche de protection en exigeant une vérification supplémentaire, comme un code envoyé sur un appareil mobile, en plus du mot de passe. Cela rend beaucoup plus difficile pour un attaquant de prendre le contrôle d'un compte administrateur compromis.

La surveillance

Il est recommandé de centraliser la gestion des événements de sécurité via un système de gestion des informations et des événements de sécurité (SIEM). Cela permet de rassembler, surveiller et analyser les données en temps réel pour identifier rapidement toute activité suspecte sur le réseau. Les organisations doivent disposer de procédures pour traiter rapidement et efficacement les alertes de sécurité.

La sauvegarde multiple (3:2:1)

Pour garantir la récupération des données en cas d'attaque, comme nous l’avons déjà expliqué dans cet article, la mise en place d'une stratégie de sauvegarde robuste est essentielle. L’implémentation d’un 3ᵉ niveau de sauvegarde, situé hors site ou sur un support déconnecté, permet d’assurer que les données seront toujours disponibles même en cas de compromission des premières lignes de sauvegarde.

Tests réguliers

Enfin, il est indispensable de tester régulièrement non seulement les sauvegardes, mais aussi la procédure de restauration. En cas d’incident, une restauration rapide et efficace des systèmes est essentielle pour minimiser l'impact de l'attaque. Des tests réguliers permettent de vérifier que les données sauvegardées sont intègres et que le processus de restauration fonctionne correctement.

Ces mesures visent à renforcer la posture de sécurité de l’organisation, tout en augmentant sa résilience face aux cybermenaces de plus en plus sophistiquées. Une approche proactive et globale est indispensable pour prévenir et répondre efficacement aux attaques de ransomware.