Cryptage total du Système d’Information
LE CONTEXTE
Le Système d’information a fait l’objet d’une cyber-attaque par la diffusion et l’exécution du ransomware « BabyK ». Le dimanche matin, l’attaquant a pris la main sur un des serveurs en ayant usurpé l’identité du compte Administrateur et a lancé l’exécution du ransomware puis s’est chargé de supprimer tous les clichés Windows serveur et toutes les sauvegardes qui étaient centralisées sur un NAS Synology. La télé-sauvegarde ayant aussi été identifiée par l’attaquant, il s’est assuré d’avoir également supprimé les jeux distants chez OVH. Le lundi matin, plus aucun serveur n’est accessible, le responsable informatique constate les dégâts et demande à son prestataire d’intervenir pour remédier au plus vite.
Les 3 serveurs physiques étant partiellement ou totalement cryptés avec l’ensemble des jeux de sauvegarde corrompus, le prestataire propose au client de tout réinstaller car, selon lui, plus rien n’est récupérable.
Le responsable informatique déclenche alors une demande d’assistance sur cybermalveillance.gouv.fr afin de faire appel à un expert en récupération de données..
LA REPONSE APPORTEE PAR MEDERI CONSULTING
Au regard des 1ère actions qui ont été menées par le prestataire historique, les serveurs sont tous déconnectés du réseau, l’ensemble des disques durs (Raid 5) des 3 serveurs sont clonés et séquestrés. Des récupérations de données par les logiciel Ontrack et Recoveo sont effectuées sur les disques clonés et sur les disques durs des NAS (certains en Raid1 et d’autres en Raid5).
Sans aucune documentation, Mederi Consulting assiste le responsable informatique en l’identification des procédures de sauvegarde des bases de données Cegid et des fichiers bureautiques (Word et Excel).
Des preuves devant être conservées, il a fallu envisager de reconstruire un Système d’Information à l’identique, raison pour laquelle de nouveaux disques ont été approvisionnés pour une réinstallation « from scratch ».
Une méthodologie de remédiation a été proposée, ainsi qu’un planning de tâches à exécuter pour envisager une reprise en mode dégradé dans les meilleurs délais et une équipe a été constituée pour ressaisir les éléments de comptabilité dans l’application Cegid redémarrée en urgence sur le Cloud.
LES RESULTATS OBTENUS
Aucune donnée des jeux de sauvegarde n’a pu être récupérée car le NAS principal de sauvegarde a été totalement réinstallé par le prestataire historique (nous n’avons pas eu connaissance des raisons de cette action effectuée en priorité, sachant qu’elle a définitivement privé le client d’une possibilité de récupération de données, ce qui l’aurait sauvé). Par ailleurs :
- Les données d’un des NAS ont été récupérées, permettant de disposer de nouveau de l’ensemble des fichiers bureautiques (datant de 4 mois)
- Les fichiers de base de données SqlServer pour CEGID ont été récupérés par le logiciel Recoveo et la comptabilité a pu être redémarrée
- Le Système d’Information a été reconstruit dans un environnement virtuel
- Une sauvegarde professionnelle a été déployée, intégrant son isolation complète pour éviter d’être attaquée à l’avenir
Le client a pu reprendre sa production 2 semaines après la cyber-attaque.
Arnaque au Président
LE CONTEXTE
Le prestataire informatique du client lui a adressé sa facture mensuelle de prestation de maintenance et 4 jours plus tard, malgré la confirmation de paiement par le client, le prestataire n’avait toujours pas les fonds disponibles.
Après avoir contrôlé les échanges d’emails, ils se son rendu-compte d’une modification de pièce jointe (la fameuse facture d’origine) et notamment des informations de Rib dans le document. L’email avait été envoyé de la part du Directeur Financier, ordonnant à son assistante de procéder au virement, ce qui a été fait (avec création d’un nouveau Rib, justifié par le hackeur par le fait qu’il avait changé de banque.
LA REPONSE APPORTEE PAR MEDERI CONSULTING
La double authentification a été activée sur l’ensemble des emails.
Un audit de la plateforme AzureAD a été mené afin d’extraire toutes les données nécessaires et l’ensemble des journaux pour analyse et opérations de Forensic, qui ont démontré l’intervention d’une tierce personne en la mise en place de règles de transfert, par l’usurpation de l’identité de l’administrateur.
La mise à jour des comptes Office a eu lieu, la procédure de paiement a été revue.
Le pare-feu a été audité et de nouvelles règles ont été mises en place pour limiter les actions sortantes possibles par les utilisateurs.
Les équipes techniques de Microsoft ont été mobilisées afin de mettre en évidence la méthode employée pour permettre l’envoie d’email depuis la plateforme Office365 (sachant que le Directeur financier utilisait déjà le MFA) et les actions correctrices ont été appliquées (notamment le DKIM et D-MARC).
LES RESULTATS OBTENUS
L’ensemble des comptes email a été sécurisé par la double authentification, l’environnement Office365 a été assainie (moins de comptes déclarés et tous les droits ont été révisés).
La solution Never Be Hacked (solution de formation continue tout au long de l’année, disponible en mode SaaS) est en cours d’étude pour sensibiliser les utilisateurs notamment aux méthodes de fishing employées par les hackeurs.
Le client a pu réutiliser pleinement Office365 4 heures après la cyber-attaque.
Cryptage total du Système d’Information
LE CONTEXTE
Le Système d’information a fait l’objet d’une cyber-attaque de grande ampleur par la diffusion et l’exécution des scripts par le malware CONTI. Le vendredi soir, l’équipe informatique constate des dysfonctionnements ci et là sur leurs outils de supervision et certains serveurs ne répondent plus aux connexions distantes. Le samedi matin, plus aucun serveur n’est accessible, le responsable informatique se rend sur place pour constater les dégâts : les serveurs virtuels sont partiellement ou totalement cryptés et les hyperviseurs VmWare Esx sont eux aussi corrompus. La baie de stockage DELL contenant des espaces SAN et NAS séparés est cryptée, la sauvegarde semble corrompue car exposée elle aussi en direct au serveur de sauvegarde, lui-même attaqué par le virus CONTI.
Le responsable informatique déclenche une demande d’assistance sur cybermalveillance.gouv.fr vers 14h00 et une cellule de crise est immédiatement montée avec les équipes du client et celles de Mederi Consulting.
LA REPONSE APPORTEE PAR MEDERI CONSULTING
Le Système d’information est totalement déconnecté du réseau, les serveurs sont isolés et les quelques périphériques (PC et copieurs) sont déconnectés.
Sans aucune documentation, Mederi Consulting assiste le client d’une part à tenter d’annuler le cryptage par des snapshots de baie, et d’autre par à identifier les possibilités d’accéder à des jeux de sauvegarde (disque dur USB et solution de stockage vers 2nde baie + lecteur de bande.
Des preuves devant être conservées, il s’agissait d’envisager de reconstruire à l’identique un Système d’Information, sans réutiliser les baies de stockage, un challenge de plus !
Une méthodologie de remédiation a été proposée, ainsi qu’un planning de tâches à exécuter le Dimanche pour envisager une reprise en mode dégradé le lundi.
Mederi s’est donc positionné en tant que pilote de la cellule de crise et des différents intervenants, évitant ainsi de corrompre les sauvegardes.
LES RESULTATS OBTENUS
Les données du disque dur USB n’ont pu être exploitées mais celles stockées sur la baie de sauvegarde ont pu être restaurées. La quasi-totalité des serveurs ont été restaurés au jeudi soir (certains ont du être recréés car non sauvegardés) et les snapshots de la baie ont permis une restauration sur la partie NAS.
Un partenaire a été missionné pour effectuer des opérations de Forensic (recherche des « root cause ») et de pentesting (identification des failles de Systèmes et du réseau).
Une lite de sujets de renforcement de la sécurité informatique a été dressée, afin de lancer des chantiers après la remédiation.
Le client a pu reprendre sa production 1 semaine après la cyber-attaque.
Système d’information pris en otage
LE CONTEXTE
Suite au décès brutal du dirigeant, le Système d’information a fait l’objet d’une immobilisation complète par le prestataire en place. Prétextant qu’il avait des « engagements » de l’ancien dirigeant en matière de primes exceptionnelles (ce que pas mal d’anciens fournisseurs réclamaient eux-aussi), il menaçait de bloquer le serveur et la messagerie tant qu’il n’aura pas été payé de ces primes (montants très élevés pour la société et hors cadre standard).
Ayant mis ses menaces à exécution, la société perd le contact avec ses clients (relations très étroites par email, dont tous les mots de passe ont été changé et une double authentification activée, avec une adresse de messagerie principale changée) et n’a plus aucune visibilité sur son activité commerciale (le serveur a été arrêté).
LA REPONSE APPORTEE PAR MEDERI CONSULTING
A notre arrivée, nous constatons que le serveur ne démarre plus (clef de cryptage activée et ordre de démarrage modifié) et que les comptes d’accès aux messageries (chez OVH) ont été usurpés. Le prestataire ayant déployé des solutions de prise en main à distance et ayant verrouillé également les accès aux routeurs, bornes wifi, caméras de surveillance, etc..
Une fois la clef de décryptage trouvée (pas assez malin pour ne pas la laisser affichée sur le dessous du serveur), nous avons décidé d’externaliser la totalité du SI en notre Datacenter, mettant en place un routeur (connexion IPSec oblige) et remasterisant les 8 postes de travail.
Nous avons également accompagné le client en la récupération des droits administrateur sur ses domaines (déclarés chez OVH) et in-fine sur ses comptes de messagerie.
LES RESULTATS OBTENUS
Le serveur a été intégré au sein de notre Datacenter, autorisant uniquement, dans un 1er temps, les accès en provenance de la société par des connexions « bureau à distance ».
Les opérations de Forensic, ainsi que les révisions des droits, ont permis de reprendre complètement la main sur le Système d’Information, écartant toute intervention possible du prestataire informatique.
Un dépôt de plainte du client, adossée à une déclaration de notre part, lui a permis de demander des dommages et intérêts.
Cette virtualisation menée dans l’urgence a permis au client de reprendre sa production le lendemain (en tous cas pour les accès serveur) après notre intervention. L’accès à la messagerie a été beaucoup plus complexe, face à des interlocuteurs OVH qui ne voulaient rien savoir, il a fallu user d’astuce pour contourner leurs procédures et migrer les comptes email dans un nouveau NicHandle 😉
Cryptage total du Système d’Information
LE CONTEXTE
Le Système d’information a fait l’objet d’une cyber-attaque par la diffusion et l’exécution du ransomware « BabyK ». Le dimanche matin, l’attaquant a pris la main sur un des serveurs en ayant usurpé l’identité du compte Administrateur et a lancé l’exécution du ransomware puis s’est chargé de supprimer tous les clichés Windows serveur et toutes les sauvegardes qui étaient centralisées sur un NAS Synology. La télé-sauvegarde ayant aussi été identifiée par l’attaquant, il s’est assuré d’avoir également supprimé les jeux distants chez OVH. Le lundi matin, plus aucun serveur n’est accessible, le responsable informatique constate les dégâts et demande à son prestataire d’intervenir pour remédier au plus vite.
Les 3 serveurs physiques étant partiellement ou totalement cryptés avec l’ensemble des jeux de sauvegarde corrompus, le prestataire propose au client de tout réinstaller car, selon lui, plus rien n’est récupérable.
Le responsable informatique déclenche alors une demande d’assistance sur cybermalveillance.gouv.fr afin de faire appel à un expert en récupération de données..
LA REPONSE APPORTEE PAR MEDERI CONSULTING
Au regard des 1ère actions qui ont été menées par le prestataire historique, les serveurs sont tous déconnectés du réseau, l’ensemble des disques durs (Raid 5) des 3 serveurs sont clonés et séquestrés. Des récupérations de données par les logiciel Ontrack et Recoveo sont effectuées sur les disques clonés et sur les disques durs des NAS (certains en Raid1 et d’autres en Raid5).
Sans aucune documentation, Mederi Consulting assiste le responsable informatique en l’identification des procédures de sauvegarde des bases de données Cegid et des fichiers bureautiques (Word et Excel).
Des preuves devant être conservées, il a fallu envisager de reconstruire un Système d’Information à l’identique, raison pour laquelle de nouveaux disques ont été approvisionnés pour une réinstallation « from scratch ».
Une méthodologie de remédiation a été proposée, ainsi qu’un planning de tâches à exécuter pour envisager une reprise en mode dégradé dans les meilleurs délais et une équipe a été constituée pour ressaisir les éléments de comptabilité dans l’application Cegid redémarrée en urgence sur le Cloud.
LES RESULTATS OBTENUS
Aucune donnée des jeux de sauvegarde n’a pu être récupérée car le NAS principal de sauvegarde a été totalement réinstallé par le prestataire historique (nous n’avons pas eu connaissance des raisons de cette action effectuée en priorité, sachant qu’elle a définitivement privé le client d’une possibilité de récupération de données, ce qui l’aurait sauvé). Par ailleurs :
- Les données d’un des NAS ont été récupérées, permettant de disposer de nouveau de l’ensemble des fichiers bureautiques (datant de 4 mois)
- Les fichiers de base de données SqlServer pour CEGID ont été récupérés par le logiciel Recoveo et la comptabilité a pu être redémarrée
- Le Système d’Information a été reconstruit dans un environnement virtuel
- Une sauvegarde professionnelle a été déployée, intégrant son isolation complète pour éviter d’être attaquée à l’avenir
Le client a pu reprendre sa production 2 semaines après la cyber-attaque.
Arnaque au Président
LE CONTEXTE
Le prestataire informatique du client lui a adressé sa facture mensuelle de prestation de maintenance et 4 jours plus tard, malgré la confirmation de paiement par le client, le prestataire n’avait toujours pas les fonds disponibles.
Après avoir contrôlé les échanges d’emails, ils se son rendu-compte d’une modification de pièce jointe (la fameuse facture d’origine) et notamment des informations de Rib dans le document. L’email avait été envoyé de la part du Directeur Financier, ordonnant à son assistante de procéder au virement, ce qui a été fait (avec création d’un nouveau Rib, justifié par le hackeur par le fait qu’il avait changé de banque.
LA REPONSE APPORTEE PAR MEDERI CONSULTING
La double authentification a été activée sur l’ensemble des emails.
Un audit de la plateforme AzureAD a été mené afin d’extraire toutes les données nécessaires et l’ensemble des journaux pour analyse et opérations de Forensic, qui ont démontré l’intervention d’une tierce personne en la mise en place de règles de transfert, par l’usurpation de l’identité de l’administrateur.
La mise à jour des comptes Office a eu lieu, la procédure de paiement a été revue.
Le pare-feu a été audité et de nouvelles règles ont été mises en place pour limiter les actions sortantes possibles par les utilisateurs.
Les équipes techniques de Microsoft ont été mobilisées afin de mettre en évidence la méthode employée pour permettre l’envoie d’email depuis la plateforme Office365 (sachant que le Directeur financier utilisait déjà le MFA) et les actions correctrices ont été appliquées (notamment le DKIM et D-MARC).
LES RESULTATS OBTENUS
L’ensemble des comptes email a été sécurisé par la double authentification, l’environnement Office365 a été assainie (moins de comptes déclarés et tous les droits ont été révisés).
La solution Never Be Hacked (solution de formation continue tout au long de l’année, disponible en mode SaaS) est en cours d’étude pour sensibiliser les utilisateurs notamment aux méthodes de fishing employées par les hackeurs.
Le client a pu réutiliser pleinement Office365 4 heures après la cyber-attaque.
Cryptage total du Système d’Information
LE CONTEXTE
Le Système d’information a fait l’objet d’une cyber-attaque de grande ampleur par la diffusion et l’exécution des scripts par le malware CONTI. Le vendredi soir, l’équipe informatique constate des dysfonctionnements ci et là sur leurs outils de supervision et certains serveurs ne répondent plus aux connexions distantes. Le samedi matin, plus aucun serveur n’est accessible, le responsable informatique se rend sur place pour constater les dégâts : les serveurs virtuels sont partiellement ou totalement cryptés et les hyperviseurs VmWare Esx sont eux aussi corrompus. La baie de stockage DELL contenant des espaces SAN et NAS séparés est cryptée, la sauvegarde semble corrompue car exposée elle aussi en direct au serveur de sauvegarde, lui-même attaqué par le virus CONTI.
Le responsable informatique déclenche une demande d’assistance sur cybermalveillance.gouv.fr vers 14h00 et une cellule de crise est immédiatement montée avec les équipes du client et celles de Mederi Consulting.
LA REPONSE APPORTEE PAR MEDERI CONSULTING
Le Système d’information est totalement déconnecté du réseau, les serveurs sont isolés et les quelques périphériques (PC et copieurs) sont déconnectés.
Sans aucune documentation, Mederi Consulting assiste le client d’une part à tenter d’annuler le cryptage par des snapshots de baie, et d’autre par à identifier les possibilités d’accéder à des jeux de sauvegarde (disque dur USB et solution de stockage vers 2nde baie + lecteur de bande.
Des preuves devant être conservées, il s’agissait d’envisager de reconstruire à l’identique un Système d’Information, sans réutiliser les baies de stockage, un challenge de plus !
Une méthodologie de remédiation a été proposée, ainsi qu’un planning de tâches à exécuter le Dimanche pour envisager une reprise en mode dégradé le lundi.
Mederi s’est donc positionné en tant que pilote de la cellule de crise et des différents intervenants, évitant ainsi de corrompre les sauvegardes.
LES RESULTATS OBTENUS
Les données du disque dur USB n’ont pu être exploitées mais celles stockées sur la baie de sauvegarde ont pu être restaurées. La quasi-totalité des serveurs ont été restaurés au jeudi soir (certains ont du être recréés car non sauvegardés) et les snapshots de la baie ont permis une restauration sur la partie NAS.
Un partenaire a été missionné pour effectuer des opérations de Forensic (recherche des « root cause ») et de pentesting (identification des failles de Systèmes et du réseau).
Une lite de sujets de renforcement de la sécurité informatique a été dressée, afin de lancer des chantiers après la remédiation.
Le client a pu reprendre sa production 1 semaine après la cyber-attaque.
Système d’information pris en otage
LE CONTEXTE
Suite au décès brutal du dirigeant, le Système d’information a fait l’objet d’une immobilisation complète par le prestataire en place. Prétextant qu’il avait des « engagements » de l’ancien dirigeant en matière de primes exceptionnelles (ce que pas mal d’anciens fournisseurs réclamaient eux-aussi), il menaçait de bloquer le serveur et la messagerie tant qu’il n’aura pas été payé de ces primes (montants très élevés pour la société et hors cadre standard).
Ayant mis ses menaces à exécution, la société perd le contact avec ses clients (relations très étroites par email, dont tous les mots de passe ont été changé et une double authentification activée, avec une adresse de messagerie principale changée) et n’a plus aucune visibilité sur son activité commerciale (le serveur a été arrêté).
LA REPONSE APPORTEE PAR MEDERI CONSULTING
A notre arrivée, nous constatons que le serveur ne démarre plus (clef de cryptage activée et ordre de démarrage modifié) et que les comptes d’accès aux messageries (chez OVH) ont été usurpés. Le prestataire ayant déployé des solutions de prise en main à distance et ayant verrouillé également les accès aux routeurs, bornes wifi, caméras de surveillance, etc..
Une fois la clef de décryptage trouvée (pas assez malin pour ne pas la laisser affichée sur le dessous du serveur), nous avons décidé d’externaliser la totalité du SI en notre Datacenter, mettant en place un routeur (connexion IPSec oblige) et remasterisant les 8 postes de travail.
Nous avons également accompagné le client en la récupération des droits administrateur sur ses domaines (déclarés chez OVH) et in-fine sur ses comptes de messagerie.
LES RESULTATS OBTENUS
Le serveur a été intégré au sein de notre Datacenter, autorisant uniquement, dans un 1er temps, les accès en provenance de la société par des connexions « bureau à distance ».
Les opérations de Forensic, ainsi que les révisions des droits, ont permis de reprendre complètement la main sur le Système d’Information, écartant toute intervention possible du prestataire informatique.
Un dépôt de plainte du client, adossée à une déclaration de notre part, lui a permis de demander des dommages et intérêts.
Cette virtualisation menée dans l’urgence a permis au client de reprendre sa production le lendemain (en tous cas pour les accès serveur) après notre intervention. L’accès à la messagerie a été beaucoup plus complexe, face à des interlocuteurs OVH qui ne voulaient rien savoir, il a fallu user d’astuce pour contourner leurs procédures et migrer les comptes email dans un nouveau NicHandle 😉
