3 tendances à retenir suite à la cyberattaque qui a perturbé la distribution de plusieurs quotidiens américains
Samedi 29 décembre 2018, la société Tribune Publishing a été victime d’une attaque informatique qui a eu pour conséquence de perturber la production et la distribution de plusieurs journaux américains comme le Los Angeles Times, le Chicago Tribune ou encore le New York Times et le Washington Post (mais uniquement sur la côte ouest). Certains quotidiens « papiers » ont ainsi été livrés avec un jour de retard.
Rapidement la nouvelle fait la une de l’actualité même si peu de détails sont rendus publics. Dans un article, le Los Angeles Times indique néanmoins qu’il s’agirait d’une attaque par le rançongiciel Ryuk. Rapidement la machine médiatique s’emballe car ce malware est connu depuis août 2018 pour posséder de nombreuses similarités avec le rançongiciel Hermes et qui serait utilisé par un groupe d’acteurs supposément affiliés à la Corée du Nord.
Même si d’apparence, cette attaque apparaît “banale” car très répandue, plusieurs tendances peuvent être tirées de l’événement et des conclusions trop hâtives qui ont pu être faites :
- Commençons par la question de l’attribution.
Bien que très peu de détails techniques sur l’attaque soient disponibles publiquement, rapidement la simple mention de l’implication du rançongiciel Ryuk a fait conclure à certains médias que l’attaque avait été menée par la Corée du Nord.
En effet, selon un billet de blog datant de août 2018 publié par des chercheurs de la société israélienne Checkpoint, le malware Ryuk partagerait de nombreuses similarités techniques avec Hermes, un rançongiciel utilisé comme diversion par le groupe Lazarus affilié à la Corée du Nord lors d’une cyberattaque contre la Far Eastern International Bank de Taiwan en octobre 2017.
Comme l’a très bien expliqué sur Twitter puis sur son blog, Robert M. Lee, CEO de la société Dragos, l’attribution n’est pas transitive. Elle ne peut pas se déduire d’une relation binaire. La logique d’affirmer que : comme Ryuk est lié à Hermes — qu’Hermes a des liens avec Lazarus — que Lazarus a été attribué à la Corée du Nord => toute utilisation de Ryuk vient forcément de la Corée du Nord — est simplement erronée. Pour l’instant, rien n’implique la Corée du Nord (mais rien n’écarte également définitivement cette option) car nous manquons cruellement d’éléments techniques et de contexte sur cette attaque. Des hypothèses alternatives sont possibles. Le New York Times, par exemple, revient également sur cette affaire en citant la société CrowdStrike qui affirme suivre le groupe — Grim Spider — qui serait derrière Ryuk. Pour l’entreprise américaine, il s’agirait d’un groupe de cybercriminels basés en Europe de l’Est qui mènerait des attaques de rançonnage “ciblé” et aurait récupéré près de 100 Bitcoins (environ 380 000 euros) en décembre 2018.
- Après l’attribution, cet “incident” permet de prendre un peu de recul sur la tendance actuelles en matière de rançongiciels.
Vecteur d’attaque préféré des cybercriminels il y a encore un an, les rançongiciels auraient été détrônés (selon de nombreuses études) en 2018 par le cryptojacking (utilisation de malwares permettant de “miner” des crypto-monnaies sur les ordinateurs et serveurs de leurs victimes et ainsi de générer de l’argent).
Mais les rançongiciels n’ont pas disparu et les cybercriminels s’adaptent simplement à leurs victimes et améliorent leur “business model”. D’une diffusion massive et indiscriminée, ils sont aujourd’hui plutôt distribués de façon “ciblée” (notamment en exploitant des accès RDP mal sécurisés ou achetés sur les marchés noirs) et beaucoup moins automatisée. Ils réclament également des rançons bien plus importantes.
Par exemple, les auteurs / opérateurs iraniens du ransomware SamSam inculpés fin novembre 2018 par le FBI : depuis 2015 ils auraient compromis près de 200 victimes, notamment des hôpitaux, des villes et des entreprises. Ce qui leur aurait permis de récolter environ 6 millions de dollars de rançons et de causer un peu plus de 30 millions de dollars de dégâts.
Ryuk, Bitpaymer et Target777 sont des exemples de rançongiciels “ciblés”.
Il existe également des moyens plus “originaux” d’infection. Dernièrement, le rançongiciel JungleSec a infecté des victimes en passant par des cartes d’interface IPMI (Intelligent Platform Management Interface — permettant de surveiller certains composant et de contrôler l’ordinateur à distance) non sécurisées (mot de passe par défaut, par exemple).
- Intéressons-nous un peu plus à Ryuk, le rançongiciel supposément impliqué dans la cyberattaque contre Tribune Publishing et à son inhabituelle méthode d’infection.
Il n’a jamais été diffusé massivement mais plutôt de façon ciblée, rendant compliquée la traque du groupe derrière ce malware. Selon les informations disponibles en sources ouvertes, il serait distribué via des botnets comme Emotet / TrickBot (ce dernier étant lui-même généralement distribué par Emotet).
Ces malwares diffusés de façon massive et indiscriminée par l’intermédiaire des campagnes de spam sont devenus un des vecteurs les plus prisés de groupes comme celui opérant Ryuk pour distribuer, dans un second temps, leur rançongiciel (ou autres malwares) à des cibles choisies parmi les victimes d’Emotet / TrickBot.
Plusieurs investigations menées suite à des compromissions par Ryuk ont montré que les victimes avaient été infectées quelques jours plus tôt par Emotet / TrickBot. Par exemple, en octobre 2018, l’ONWASA (l’office des eaux et des égouts de Onslow) en Caroline du Nord, a été victime de Ryuk qui l’a obligé à reconstruire toute son infrastructure informatique.
- En bonus :
Brian Krebs rapporte sur son blog qu’une autre société américaine a été victime d’une attaque exploitant le rançongiciel Ryuk lors du réveillon de Noël. Il s’agit de DataResolution.net, un prestataire d’hébergement dans le Cloud.
Leur “communication” officielle post-incident a affirmé très rapidement que l’attaque provenait de… Corée du Nord, reprenant le message Ryku = Corée du Nord de certains médias…