La communauté de cybersécurité croit généralement qu’il suffit qu’un pirate informatique arrive à compromettre un seul ordinateur dans une entreprise pour qu’il puisse lancer une attaque. L’administrateur réseau, par contre, doit protéger chaque périphérique pour réussir dans son travail.
Cette notion a été illustrée il y a deux mois lorsqu’un système scolaire en Géorgie (États-Unis) a été contraint de lutter contre une attaque virale à grande échelle pendant six semaines. L’analyse de la manière dont le malware a infiltré le système scolaire évoque la façon dont les cybercriminels peuvent s’attaquer aux plus petites vulnérabilités de votre réseau. Elle permet également de savoir comment les effets d’une telle attaque se sont propagés rapidement.
Retarder l’inévitable
Le système scolaire a mis en place un système de sécurité multicouche comprenant un pare-feu d’entreprise, une solution de filtrage web, un filtre antispam Office 365 complété par l’ATP, ainsi qu’une protection des terminaux. D’une manière générale, le système informatique de l’établissement était solidement protégé, à l’exception d’une petite poignée d’ordinateurs dans le service des transports.
Alors que le département informatique avait migré tous les postes de travail de l’école vers Windows 10 et mis à niveau tous les serveurs dotés d’un système d’exploitation antérieur à Server 2012 vers une version serveur actuelle, le département des transports retardait constamment ces mises à niveau. Les employés du département ont partagé une pléthore de fichiers sur un serveur Windows 2003 local et certains employés travaillaient encore avec des machines fonctionnant sous Windows XP. Les chefs de département ont toujours insisté sur le fait que le moment n’était pas propice à une mise à niveau chaque fois que la question a été évoquée.
Malheureusement, le virus Emotet a infecté le réseau de l’école à l’aide du kit d’exploitation EternalBlue. Plus tôt cette année, Emotet a coûté 314 000 $ à un district scolaire de la Caroline du Nord. Les attaques d’Emotet visent souvent des organisations éducatives. EternalBlue tire parti d’une vulnérabilité bien connue qui exploite Microsoft Server Message Block 1.0. SMB est un protocole de partage de fichiers en réseau qui permet aux applications sur un ordinateur de lire et d’écrire des fichiers et de demander des services. Le protocole SMBv1 est intégré à toutes les versions de Windows pour assurer la compatibilité avec les versions antérieures. Emotet, qui date de 2014, a été initialement publié comme un cheval de Troie bancaire. Depuis lors, il a évolué en une charge malveillante pour d’autres types de malwares et de chevaux de Troie.
La vulnérabilité a été découverte publiquement au début de l’année 2017. Suite à cela, Microsoft a publié le correctif MS17-010 en mars 2017 pour éliminer la vulnérabilité des plateformes actuelles. Ensuite, il a publié des correctifs pour Windows XP, Windows 8 et Server 2003, même si ces systèmes ne sont plus pris en charge. Malheureusement, il s’agissait d’une mise à jour hors bande, c’est-à-dire qu’elle exige que le personnel informatique télécharge et installe manuellement le correctif. Pour une raison ou une autre, le correctif publié n’a jamais été installé sur les machines obsolètes au sein du district scolaire.
Anatomie d’une infection virale
Bien qu’une enquête n’ait pas encore permis de découvrir comment le virus a été lancé pour la première fois, on croit qu’un employé du service des transports a cliqué sur quelque chose dans un e-mail. L’utilisateur utilisait une machine XP qui avait plusieurs lecteurs mappés sur le serveur Windows 2003 local. Une fois que le virus a établi une tête de pont au sein du département, il a commencé à infecter latéralement d’autres machines. En outre, il a impliqué l’infection des machines victimes avec des malwares de chiffrement, laquelle semblait être le principal objectif de l’attaque.
Les processus de cryptomining consomment des ressources du processeur, ce qui rend les machines pratiquement inutilisables. Dans l’ensemble du district scolaire, bon nombre de machines infectées ont planté sur l’écran bleu et été redémarrées tout au long de la journée en raison de la consommation de ressources. Le réseau informatique s’est également ralenti en raison des flux de trafic malveillants qui circulaient sur l’autoroute latérale SMB.
Comme le reste du système scolaire avait correctement mis à niveau ses machines vers les systèmes d’exploitation pris en charge, le virus avait besoin d’un autre moyen pour se propager. Un keylogger a été déposé sur les machines infectées. Il pouvait rapidement capturer les informations d’identification d’un technicien de support informatique disposant des droits d’administration du domaine. Avec les nouvelles informations d’identification, Emotet a alors commencé à désactiver la fonction de mise à jour de Windows Defender sur les postes de travail et les serveurs clés, y compris les contrôleurs de domaine.
Au bout d’une semaine, le virus a pu installer des chevaux de Troie récemment publiés sur ces ordinateurs en créant des tâches planifiées sous le compte de l’administrateur. Un module de spam d’Emotet a alors commencé à envoyer des spams malveillants aux utilisateurs dans tout le district, en utilisant plusieurs versions d’une facture qui nécessitait de l’attention. Plusieurs utilisateurs sont tombés dans le piège et leurs machines ont été infectées. D’autres dispositifs ont obtenu le virus à partir de partages qui résidaient sur des serveurs infectés. Emotet a ensuite déployé le cheval de Troie bancaire Trickbot, lequel a ciblé rapidement les systèmes effectuant des transactions financières. Heureusement, le logiciel financier a détecté le virus et a refusé la connexion à un site bancaire externe.
Comment le département informatique a-t-il maîtrisé le virus ?
Ne connaissant pas l’état de la protection des terminaux pour ses machines, les employés du département informatique se sont d’abord efforcés de désactiver SMBv1 sur toutes les machines. Ainsi, le réseau a commencé à accélérer. Par ailleurs, une stratégie de groupe Windows a été créée pour empêcher la création de tâches planifiées sur le réseau. Ils ont téléchargé manuellement les mises à jour les plus récentes de Windows Defender et les ont installées sur toutes les machines qui étaient en retard sur les mises à jour. Enfin, ils ont exécuté Autoruns for Windows et supprimé tous les processus et fichiers qui passaient par l’application Trojan.
Au total, il a fallu 6 semaines complètes pour que le département informatique, surchargé, puisse maîtriser, endiguer et éliminer le virus. Depuis lors, il a créé de nouvelles politiques informatiques concernant les mises à niveau et les correctifs obligatoires pour tous les systèmes informatiques. En outre, ils ont mis fin à la pratique du partage interne de fichiers, exigeant que tout le personnel partage les fichiers dans le cloud.
Le fait est que tout cela aurait pu être évité s’il n’y avait pas eu négligence de deux principes clés de l’hygiène en matière de cybersécurité :
- Mettre à niveau tous les systèmes d’exploitation et périphériques non pris en charge.
- Toujours s’assurer que tous les appareils sont correctement mis à jour.
Malheureusement, les pirates informatiques peuvent facilement savoir si votre organisation utilise Office 365. Ils peuvent le faire parce que vous le diffusez dans le monde entier sur vos enregistrements DNS MX publics. Le fait de savoir que vous êtes abonné à Office 365 peut influencer la façon dont ils lancent une attaque sur votre réseau. Cela leur donne un avantage énorme dès le départ.
De nombreuses entreprises utilisent une approche de sécurité multicouche pour leurs e-mails. La raison est qu’elles trouvent les solutions proposées par les fournisseurs de sécurité dédiés plus efficaces, flexibles et moins coûteuses, comparées à la protection avancée contre les menaces de Microsoft qui nécessite des licences et des coûts supplémentaires.