"Quelles conclusions tirer de la liste croissante des victimes de l’attaque MOVEit ?
On ignore encore le nombre exact de victimes du ransomware Cl0p, mais ce nombre devrait continuer à augmenter. Pour les entreprises touchées, elles doivent se poser deux questions : 1) l’organisation (ou une société tierce affiliée) utilisait-elle des versions vulnérables d’un logiciel ou d’une offre SaaS ? 2) cette vulnérabilité a-t-elle été exploitée et des données ont-elles été dérobées ?

Bien que simples en théorie, l’échelle à laquelle ces vérifications doivent être effectuées a de quoi intimider de nombreuses organisations. La première nécessite un inventaire précis des équipements, logiciels, et services utilisés au sein de l’entreprise, ainsi que des attestations de la part des fournisseurs et prestataires. La deuxième nécessite de partir à la chasse aux menaces et indicateurs de compromission, d’examiner les journaux, et d’exploiter des capacités de réponse aux incidents, et potentiellement d’investigation numérique complète.
Ces activités peuvent mener à la divulgation d’autres compromissions, à de potentielles amendes dans certains secteurs d’activité, et à des poursuites, voire à des recours collectifs.

Quelles sont les étapes à suivre pour les organisations conscientes d’avoir potentiellement été affectées par l’attaque MOVEit ?
Il faut espérer qu’elles aient réalisé une évaluation, et bloqué toute activité malveillante supplémentaire en suivant les étapes suivantes :

1/ Effectuer, comme indiqué en point 1.a ci-dessus, un inventaire complet, maîtriser son environnement, et vérifier si le logiciel Progress (y compris le service cloud) est installé et en cours d’utilisation.
2/ Évaluer les vulnérabilités (celles-ci étant bien documentées dans le cas présent).
3/ Installer des patchs pour les versions vulnérables.
4/ Si aucun patch n’est disponible :
• Prendre les mesures d’atténuation des risques suggérées par l’éditeur, à savoir de désactiver l’interface utilisateur web (en bloquant les accès aux ports 80/443), et d’utiliser les protocoles non vulnérables disponibles.
• Désactiver le logiciel/service, et utiliser des solutions de transfert sécurisé de fichiers alternatives.
5/ Déterminer si elles sont toujours vulnérables en vérifiant leurs vulnérabilités de l’intérieur et de l’extérieur, pour obtenir une perspective différente sur leur organisation. En d’autres termes, l’idée est de savoir « De quoi on a l’air aux yeux d’un pirate ? ». La réponse peut être obtenue en utilisant les mêmes outils qu’un attaquant utiliserait pour le découvrir (Google Dorks, Shodan, OSINT, etc.). L’évaluation des menaces, le conseil antagoniste (adversarial consulting) et le recours à des exercices Red Team peuvent fournir les données nécessaires.

Déterminez si une vulnérabilité a été exploitée ou un vol de données a eu lieu. Ces informations peuvent être obtenues en cherchant des indicateurs de compromission. Inspectez les journaux des réseaux et applications, en particulier ceux hébergés sur les serveurs MOVEit, le système de fichiers (garde aux fichiers human2.aspx et aux sauvegardes volumineuses), MySQL, et Azure Blob Storage.

Quoi qu’il en soit, la prudence exige de partir du principe qu’une violation a eu lieu, puis de vérifier ensuite si des données ont été dérobées (et non l’inverse). Cela implique d’avoir des plans de réponse aux incidents prêts à être lancés. Ceux-ci doivent couvrir les différents rôles et responsabilités, afin de savoir par qui et comment les événements seront gérés. Quel est le plan de communication au public ? Qui contactera les clients, fournisseurs, etc. ? Quel est le rôle du conseil d’administration ? La rançon sera-t-elle payée si l’attaquant présente une demande, ou fera-t-elle l’objet d’un refus et d’une transparence totale ? Quels sont les plans pour contacter les forces de l’ordre ? Qui sont les responsables ?

Honnêtement, ces questions devraient être traitées bien avant toute attaque. L’exploitation d’une vulnérabilité telle que MOVEit devrait déclencher la mise à exécution, et non l’élaboration d’un plan de réponse aux incidents. Les organisations les plus matures auront déjà effectué des exercices au sein de leurs équipes d’intervention en cas d’incident de sécurité informatique, afin de se préparer à des événements de ce type. Si ce n’est pas le cas, il n’y a pas de meilleur moment pour commencer.

À quoi attribueriez-vous la réussite exceptionnelle de cette attaque en particulier ?
Tout d’abord, l’ancienneté et la prolifération des services de transfert de fichiers. Ces derniers existent depuis les débuts d’Internet. Ipswitch (le développeur de ce produit de transfert de fichiers managé) a été créé il y a plus de 30 ans, avant d’intégrer par la suite le portefeuille de Progress Software. Ces services sont des technologies essentielles utilisées par presque toutes les entreprises.

Deuxièmement, ces services plus anciens attirent peu l’attention. Ils se contentent de fonctionner, et peuvent être simplement configurés et mis en œuvre sans autre intervention de la part des équipes de production.

Troisième point : ils utilisent des services et des protocoles tournés vers Internet. Des milliards de tentatives d’attaque ont probablement été menées. Il suffit d’échouer une fois au test ou d’une vulnérabilité critique pour entraîner une attaque d’une telle ampleur.

Quatrième point : la recherche en sécurité accuse un retard dans plusieurs domaines, mais celui-ci est progressivement comblé. Pendant des années, l’accent a été mis sur les endpoints et systèmes d’exploitation de postes de travail, les services web, etc. Bien que nous ayons affaire ici à une vulnérabilité de type injection SQL, les attaquants comme les chercheurs s’amasseront pour l’étudier, ce qui portera l’attention du secteur sur des catégories de services tout entières. Ces derniers mois, nous avons assisté à une explosion des vulnérabilités au sein des appliances réseau, des passerelles de messagerie, et désormais des services de transfert de fichiers (GoAnywhere MFT, Accellion FTA, SolarWinds Serv-U, MOVEit). Dans la plupart des organisations, les services de ce type ne bénéficient pas d’une stratégie de défense en profondeur aussi robuste que les endpoints.

Dernier point, et non des moindres : la nature des activités des services de transfert de fichiers. En 1933, à la question « Pourquoi dévalisez-vous des banques ? », le braqueur Willy Sutton répondit « Parce que c’est là que se trouve l’argent ». Dans le même ordre d’idées, pourquoi s’attaquer à des services de transfert de fichiers ? Parce que c’est là que se trouvent les données. Ces dernières sont l’essence de la plupart des organisations, et les services de transfert de fichiers déplacent des données d’un endroit à un autre. Et les attaquants en sont conscients.

Pensez-vous que la récompense de 10 millions de dollars du Département d’État pourrait permettre de recueillir des informations utiles sur le groupe de ransomware CLOP ?
Oui. Il s’agit d’une belle prime. Aboutira-t-elle sur un démantèlement ou des arrestations ? Seul le temps nous dira. En dépit des quelques effets négatifs déjà évoqués, ma conviction personnelle est que les avantages l’emportent sur les inconvénients.

Face à la progression incessante des cyber risques, comment les acteurs des secteurs privés et publics peuvent-ils se préparer à la possibilité d’une autre attaque de cette ampleur ?
En respectant les bases en matière d’informatique et de cyber hygiène. Comme j’aime à le dire, il faut « savoir, gérer et sécuriser ». En d’autres termes, impossible de protéger ce que l’on ne gère pas, et impossible de gérer ce dont on ignore l’existence. Le savoir est une arme. La maîtrise de sept points suivants permettra à n’importe quelle organisation de prendre une longueur d’avance :
• Quels sont les appareils présents sur le réseau ?
• Quels programmes tournent sur ces appareils ?
• Qu’est-ce qui entre et sort du réseau ?
• De quoi l’organisation a-t-elle l’air aux yeux d’un attaquant ?
• Existe-t-il des contrôles de sécurité, et sont-ils efficaces ?
• Les utilisateurs sont régulièrement sensibilisés et conscients et des menaces et techniques d’attaque typiques ?
• Où sont stockées les données (stockage à chaud, froid ou tiède), et sont-elles correctement chiffrées et protégées ?
La gestion et la sécurisation reposent sur des programmes fondamentaux qui tirent parti de données précises en temps réel — celles-ci pouvant être obtenues en suivant les sept points ci-dessus. La plupart des organisations disposent déjà de programmes dédiés, mais ceux-ci sont incomplets ou inefficients, leur vision de leur entreprise manquant de précision. Différents éléments sont requis pour éviter de futures attaques d’une telle ampleur :
• La gestion et la correction des vulnérabilités
• Une gestion des identités et des accès incluant l’authentification multifactorielle (et des clés FIDO pour les données les plus précieuses) et la mise en œuvre complète du principe du moindre privilège
• Les bases de la gestion de la production informatique : gestion du changement, gestion des problèmes, reprise d’activité et planification de la continuité d’activité
• Les bases des opérations de sécurité, la formation d’une équipe d’intervention en cas d’incident de sécurité informatique (CSIRT), la supervision et la chasse aux menaces
Gérés correctement, ces éléments profitent également aux entreprises.

Plus spécifiquement, avec des services aussi critiques (au regard des données critiques impliquées), il est nécessaire d’être plus attentif quant aux méthodes et aux individus ayant accès à ces informations. Des mécanismes de défense supplémentaires doivent être ajoutés pour limiter l’exposition ou réduire le rayon de la déflagration lorsqu’une vulnérabilité de ce type est exploitée. Cela inclut de mettre en place des couches de sécurité supplémentaires, de passer en revue les problèmes de rétention de données, et de mettre en place des politiques visant à ne recueillir que les données requises et à ne pas les conserver outre mesure (« minimum valuable data »). Enfin, il convient de comprendre où résident les données et de les déplacer vers des emplacements plus sécurisés si nécessaire."