Interview d’Ivan Kwiatkowski - Chercheur en Cybersécurité @ Kaspersky
/L’Interview d’Ivan Kwiatkowski *, Chercheur en Cybersécurité @ Kaspersky, a été réalisée durant les 20èmes Assises de la Cybersécurité qui se sont déroulées en octobre 2020 à Monaco
SDBR News : Pas un jour de l’année 2020 ne se passe sans qu’on entende parler de malwares et autres rançongiciels ? Voyez-vous vraiment une augmentation de la Menace ?
Ivan Kwiatkowski : Non, nous ne la voyons pas et je suspecte qu’elle n’existe pas. Ce qui se passe avec la crise du Covid19, c’est qu’il y a beaucoup d’infections des systèmes qui utilisent comme prétexte opportuniste la crise sanitaire et nous assistons à une conjonction médiatique qui vise à rassembler les deux problèmes : crise sanitaire et menaces informatiques. En pratique, il n’y a pas plus d’attaquants depuis le Covid qu’avant le Covid et l’écosystème de la menace est stable en volume. A chaque crise, quelle qu’elle soit, nous assistons à des campagnes de phishing ou de malwares qui s’appuient sur ces prétextes anxiogènes pour tromper les utilisateurs. Nous constatons même une baisse sur les ransomwares au deuxième semestre 2020, ce qui peut paraître paradoxal, mais en revanche, ils sont de plus en plus ciblés vers les entreprises.
SDBR News : Avez-vous des exemples ?
Ivan Kwiatkowski : Par exemple, le pourcentage d’ordinateurs de systèmes de contrôle industriel touchés par des ransomware a légèrement augmenté au premier semestre 2020 par rapport au second semestre 2019 dans tous les secteurs, avec une série d’attaques contre des établissements médicaux et des entreprises industrielles, ciblant essentiellement les entreprises du secteur pétrolier et gazier. Cette augmentation a eu lieu alors même que la part d’ordinateurs de systèmes de contrôle industriel attaqués dans la plupart des industries a diminué. Les cybercriminels se tournent vers la distribution de menaces plus ciblées et plus précises.
SDBR News : Comment expliquez-vous alors cette profusion de communiqués alarmistes de la part de certains éditeurs, cabinets conseils ou associations ?
Ivan Kwiatkowski : Il s’agit probablement de marketing… Nous avons toujours le même nombre de sondes au niveau mondial et nous ne constatons pas d’augmentation en volume de la Menace. Lorsque l’ANSSI dit que « la menace est grandissante », cela ne signifie pas forcément qu’elle est grandissante en volume, mais qu’elle est de plus en plus technique et de plus en plus ciblée. Sur certains points particuliers, comme les ransomwares, il y a même eu une baisse. Ce qui est nouveau en 2020, c’est que les attaquants utilisent les ransomwares pour faire du chantage aux victimes : divulguer les données internes capturées sur le Net si les victimes ne versent pas de rançons ! Donc si les données sont publiées, le monde entier sera au courant de l’attaque subie par l’entreprise avec tous les risques que cela entraine : perte d’image, perte de confiance, baisse du chiffre d’affaires, etc. Antérieurement les entreprises pouvaient dissimuler les attaques dont elles étaient victimes. Aujourd’hui ce n’est plus possible et cela nourrit un flux d’articles médiatiques constant qui entraine, par voie de conséquence, un sentiment que la menace est plus importante. Mais c’est faux, elle est simplement plus visible.
SDBR News : Vous avez du connaitre, comme tout le monde, certains clients confrontés à un ransomware. Quel appui leur avez-vous apporté ?
Ivan Kwiatkowski : Dans une attaque par ransomware, le prestataire chargé de la réponse sur incident arrive après la bataille. Nous pouvons aider à la remédiation mais, en pratique, il est extrêmement rare de pouvoir récupérer les données cryptées par l’attaquant. Parce que la cryptographie est construite de manière à ce qu’il soit techniquement impossible de récupérer les fichiers sans la clé de chiffrement. Il reste alors deux options à la victime qui ne veut pas payer de rançon : soit elle a des sauvegardes en sécurité et elle peut faire une réinstallation sur le réseau ; soit elle n’a pas de sauvegarde sécurisée et ses données sont définitivement perdues.
SDBR News : Qu’est-ce qui peut garantir une sauvegarde sécurisée ?
Ivan Kwiatkowski : Le problème des sauvegardes n’est pas que les sociétés n’en font pas, c’est qu’elles les ont rarement testées en Live pour savoir si les backups sont réutilisables. En outre, la plupart des systèmes de backups de dernière génération sont connectés au réseau d’une manière ou d’une autre. Et lorsqu’un rançongiciel arrive sur le réseau, il chiffre aussi les données du backup qui passent devant lui. Les attaquants enfin ont en général l’idée d’aller d’abord chiffrer les données de sauvegarde pour faire en sorte qu’elles ne soient plus utilisables. Donc si les données de backups sont accessibles depuis le réseau, où se trouvent les attaquants, ils vont les trouver et les effacer. Quand bien même il y aurait des sauvegardes sécurisées, si elles n’ont pas été régulièrement testées elles pourraient être inexploitables. Or pour tester régulièrement et correctement le backup d’une entreprise, il faut interrompre un jour ou deux son activité de réseau : cela coûte cher et pose des problèmes opérationnels. D’où la recommandation de l’ANSSI de s’entrainer régulièrement à la remédiation pour mettre en exergue les points ou les procédures à améliorer et être prêt en cas d’incident majeur. Il existe bien sûr des solutions de sauvegarde automatisées et sécurisées sur le marché, mais encore faut-il que l’architecture de l’entreprise et les procédures de sauvegarde soient bien respectées dans une démarche proactive. On peut aussi, en dernière assurance, utiliser la bonne vieille méthode de sauvegarde sur bandes magnétiques d’enregistrement des données qui présente l’avantage d’avoir des capacités de stockage plus grandes que le disque et de pouvoir conserver les données beaucoup plus longtemps sans altération.
SDBR News : Les équipes Kaspersky ont récemment mis à jour un malware nommé MontysThree. Pouvez-vous nous en parler ?
Ivan Kwiatkowski : Nos chercheurs ont découvert une campagne d’espionnage très ciblée contre des industries, remontant à 2018. Le jeu d'outils utilisé dans le cadre de ces attaques - initialement nommé MT3 par les auteurs du malware - a été baptisé MontysThree par les équipes Kaspersky. MontysThree utilise diverses techniques pour échapper à la détection : il héberge par exemple les communications qu’il effectue avec le serveur de contrôle de l’entreprise sur du Cloud public et cache son principal module malveillant à l'aide de la stéganographie. La stéganographie, c'est l'art de dissimuler des données dans d'autres données, que ce soit à l’intérieur d’un texte comme on le faisait avant le numérique, ou à l’intérieur des pixels par exemple aujourd’hui. Les campagnes d’espionnage menées à l’aide de MontysThree reposent sur le déploiement d’un programme malware, composé de quatre modules. Le premier module, le chargeur (loader), est initialement diffusé à l'aide de fichiers RAR SFX (archives auto-extractibles) contenant des noms liés aux listes de contacts des employés, de la documentation technique ou encore des résultats d'analyses médicales, afin d’inciter les employés à télécharger les fichiers. Une approche très ciblée donc, qui constitue une technique courante de spear phishing. Le chargeur diffusé permet d'assurer que le logiciel malveillant n'est pas détecté sur le système espionné. Dans le cas de MontysThree, la principale charge utile malveillante est déguisée en fichier bitmap (un format d'images numériques constituées d’une matrice de pixels). Si la bonne commande est entrée, le chargeur utilisera un algorithme spécifique pour décrypter le contenu de cette matrice de pixels et exécuter la charge utile malveillante.
Pour plus d’information sur MontysThree voir https://securelist.com/montysthree-industrial-espionage/98972
* Ivan Kwiatkowski est un analyste de programmes malveillants et un pentester certifié OSCP et OSCE. En tant que Senior Security Researcher au sein de l’équipe Global Research and Analysis Team (GReAT) de Kaspersky Lab, Ivan se focalise sur l’étude des attaques les plus sophistiquées et organise des formations en retro-ingénierie. Il développe également un outil de dissection open source pour les exécutables Windows et ses recherches ont été présentées lors de plusieurs conférences sur la cybersécurité en Europe. Ardant militant de la vie privée dans le numérique, il administre un nœud de sortie du réseau Tor.
Crédits photos: Kaspersky