Suite à la publication du rapport de l’ANSSI sur la menace ransomware CLOP (https://www.cert.ssi.gouv.fr/uploads/CERTFR-2019-CTI-009.pdf), veuillez trouver ci-dessous le commentaire de Christophe Lambert, directeur technique de Cohesity.
Dans un rapport publié en fin de semaine dernière, l’ANSSI alerte les entreprises et les administrations sur le ransomware CLOP. La deuxième partie de ce rapport donne des éléments de contexte et confirme que ces attaques, loin de l’image du hacker nihiliste et antisystème popularisée dans les fictions, sont organisées par des groupes dont le gain financier est le principal moteur. C’est bien le goût du lucre et non la déstabilisation d’un ordre établi qui motive les cybercriminels. Certains groupes comme TA505, mis en cause dans la propagation de CLOP, sont prolifiques et ont déjà à leur actif plusieurs attaques fructueuses.
Aux Etat-Unis, la prise en compte de ce type d’attaques par les assurances au titre de “catastrophes” favorise un retour sur investissement garanti. Si elles soulagent les organisations qui y souscrivent, elles confortent le ransomware dans sa position d’outil idéal des cybercriminels en quête d’argent facile. On peut donc supposer que nous ne sommes qu’au début de la vague et que de nombreux concurents, de plus en plus professionnalisés se lanceront bientôt à l’assaut des systèmes d’information du monde entier pour conquérir le “marché” qui s’ouvre à eux.
L’autre “détail” important du rapport est la description de la méthode d’infection de CLOP. “Le ransomware semble être majoritairement distribué au travers de campagnes d’hameçonnage, qui n’apparaissent pas ciblées, mais plutôt massives”. L’hameçonnage est une technique qui consiste à envoyer des emails aux personnes d’une organisation afin de tenter d’obtenir des informations confidentielles soit ayant une valeur immédiate (ex: données stratégiques, codes bancaires), soit permettant d’ouvrir une brèche dans le système d’information (ex: identifiants d’accès machines, mots de passe de boîtes mail)
Ce qu’il faut retenir, c’est que le succès de ces attaques repose largement sur l’erreur humaine, ce qui sous-entend que ces attaques ne sont jamais totalement inévitables et que les organisations doivent se préparer à être touchées. Elles doivent avoir des procédures de reprise après incident solides et efficaces.
Très logiquement, l’ANSSI recommande donc l’utilisation de solutions de sauvegardes et particulièrement celles capables d’isoler complètement les données de production des copies de secours. On ne peut que confirmer cette recommandation.
Il est impératif d’accompagner ces efforts de protection des données sur le plan technique par une approche humaine. Les employés qui ne sont pas formés aux bonnes pratiques en matière de sécurité sont une une menace pour la sécurité des systèmes et des données. Des formations simples doivent apprendre à tous les membres d’une organisation à gérer ses mots de passe, détecter les sollicitations frauduleuses par email et éviter le piratage de son poste. Ces formations doivent être actualisées alors que les menaces évoluent.