3 juin 2019

Observatoire FIC : LockerGoga est-il le nouveau WannaCry ?

L’observatoire du Forum International de la Cybersécurité (FIC) a organisé mardi 21 mai dernier un petit déjeuner mensuel autour du thème des rançongiciels, au Cercle mixte du quartier des Célestins, à Paris.

En janvier et mars derniers, deux grandes sociétés, Altran (France) et Nordsk Hydro (Norvège), ont été cibles d’attaques par LockerGoga, un rançongiciel qui semble différent des attaques en 2017 « WannaCry » et « NotPetya », par son caractère ciblé.

L’observatoire du FIC a ainsi soulevé la question sur les risques que peut représenter ce nouveau type de rançongiciel, ainsi que les moyens techniques, humains et organisationnels à mettre en œuvre pour s’en prémunir.

Pour en discuter, les intervenants suivants ont été invités : le Colonel Jean-Dominique Nollet (Centre de lutte contre les criminalités numériques de la Gendarmerie Nationale), Benoît Grunemwald (Directeur des Opérations, ESET), et Serge Lefranc (Chef de la division Réponse à Incident, ANSSI).

Depuis que les premières attaques par rançongiciels ont vu le jour, ces derniers n’ont cessé de se multiplier en utilisant continuellement de nouvelles techniques d’attaque. WannaCry et NotPetya sont deux exemples parmi tant d’autres, ayant causé des pertes considérables dans plusieurs entreprises.

Selon les intervenants, ce type d’attaque n’est ni triviale ni sophistiquée, il s’agit d’une attaque organisée dont les auteurs emploient des techniques avancées couplées avec l’utilisation d’algorithmes de chiffrements forts.

Contrairement à ses prédécesseurs, LockerGoga est un rançongiciel qui cible les systèmes industriels. L’objectif principal de ce malware est d’infecter les systèmes cibles et de chiffrer les fichiers présents puis de demander une rançon pour le déchiffrement des données.

Les intervenants ont toutefois précisé que malgré les mesures déjà mises en place par les sociétés afin de sécuriser leurs infrastructures, les attaquants sont parfois plus rapides, techniquement plus avancés, et exploitent souvent les vulnérabilités humaines (ingénierie sociale) rendant toute entreprise vulnérable à ce type d’attaques.

Parmi les mesures préventives organisationnelles et techniques à prendre pour se protéger de ce type d’attaques, on trouve le choix d’une bonne assurance entreprise traitant ce type de risque, la sauvegarde des données, l’utilisation de l’authentification forte, la mise en place d’honeypots, ou encore la réalisation de plusieurs exercices en Threat Intelligence et tests d’intrusion qui permettraient d’avoir une vue globale sur la sécurité de l’infrastructure.

Les mesures de correction post-incidents quant à elles seraient, avant tout, la communication et le partage des indicateurs sur l’attaque afin d’en prévenir d’autres. Se rajoute à cela un accompagnement en phase de crise et ainsi qu’à la sortie de crise, à travers une prestation ou une expertise technique et organisationnelle.

En conclusion, les intervenants ont évoqué quelques nouvelles problématiques liées aux rançongiciels, qui seraient l’utilisation d’une cryptomonnaie n’offrant aucune traçabilité, des techniques d’attaques de plus en plus évoluées.

Focus LockerGoga

Au premier abord, ce rançongiciel semble avoir pour première cible le secteur industriel.

Comme toute attaque par rançongiciel, une première phase de collecte d’information et d’exploitation de vulnérabilités humaines et techniques est effectuée, afin que l’attaquant puisse s’introduire dans le système d’information de la cible avec des privilèges élevés et exécuter la charge malveillante sur les machines des victimes.

Le code de LockerGoga est signé par des certificats valides afin de contourner les antivirus et autres mécanismes de détection.

Une fois exécuté, le processus master déconnecte les utilisateurs de leurs sessions courantes (grâce à l’utilitaire logoff.exe) et change les mots de passe des comptes administrateurs à « HuHuHUHoHo283283@dJD ».

S’ensuit alors l’étape de chiffrement, utilisant les algorithmes RSA 4096 et AES-256, et chiffrant 30 types de fichiers ayant les extensions suivantes : .lnk, .doc, .dot, .docx, .docb, .dotx, .dotb, .wkb, .xml, .xls, .xlsx, .xlt, .xltx, .xlsb, .xlw, .ppt, .pps, .pot, .ppsx, .pptx, .posx, .potx, .sldx, .pdf, .db, .sql, .cs, .ts, .js, .py .

À l’issue du chiffrement, le processus met un fichier « Readme_locked.txt » sur le bureau de la victime, ce fichier ne contient aucun lien de paiement, laissant ainsi libre choix à l’attaquant quant au montant de la rançon à payer, variant selon l’entreprise ciblée :

Enfin, le processus énumère les interfaces réseau et les désactive une à une, puis supprime l’exécutable malveillant.

Conclusion

Les attaques par rançongiciel n’ont cessé de se multiplier et d’évoluer au fil des années. L’arrivée d’un nouveau type de rançongiciel LockerGoga vient appuyer ce constat, en utilisant de nouvelles techniques plus évoluées, mais surtout capables de s’adapter au niveau de sécurité de l’environnement cible.

À noter également que les objectifs de certaines variantes de ce rançongiciel dépassent le facteur financier pour finalement rentrer dans la catégorie des malwares classiques ayant pour objectif la destruction des données de la cible.

Plusieurs articles ont été publié sur notre blog concernant les ransomware, n’hésitez pas à y jeter un œil

Imane Belhaous

Imane Belhaous :
Consultante BSSI

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *