5 leçons que nous avons tirées de notre attaque de ransomware
Il est bien documenté que les attaques de ransomwares sont en augmentation et qu'elles peuvent avoir de graves conséquences qui affectent toutes les parties d'une entreprise, y compris les clients, les opérations, l'image de marque et même les conseils d'administration.
Contexte de l'atttaque
Dans le cadre de mon rôle chez DXC Technology, je supervise nos activités de sécurité et je suis fréquemment confronté à des attaques contre nos clients. Mais le samedi 4 juillet 2020, alors que je sortais de la voiture pour commencer mes vacances en famille, l'entreprise est devenue la cible d'une attaque de ransomware.
L'incident concernait Xchanging, une filiale basée au Royaume-Uni, qui fournit des services commerciaux basés sur la technologie au secteur de l'assurance commerciale. L'attaquant a envoyé une image souvent utilisée d'un personnage de dessin animé bien-aimé faisant un geste de la main obscène avec ce message: « Nous avons vos données. Nous avons chiffré vos fichiers. Si vous souhaitez négocier, nous pouvons parler sur un outil sécurisé ou une session de chat. »
Alors que le réseau utilisé par l'entreprise Xchanging était séparé de l'environnement informatique beaucoup plus vaste de DXC, nous nous demandions néanmoins si l'incident aurait des impacts opérationnels sur les clients de Xchanging lorsque les bureaux d'assurance de Londres ouvriraient le lundi.
Le temps est essentiel dans une attaque de ransomware, car l'un des impacts réels est le temps d'arrêt. Une attaque moyenne détruit les systèmes critiques pendant 16 jours, selon Emsisoft, qui prédit que les coûts globaux des ransomwares pourraient atteindre 170 milliards de dollars dans le monde en 2020.
Dans l'instance Xchanging, le hacker avait obtenu un accès initial deux jours plus tôt. Seule une poignée de systèmes ont été consultés, et nous avons pu rapidement isoler et neutraliser la menace. Aucune donnée n'a été volée et nous n'avons pas payé la rançon. Nous avons immédiatement engagé nos clients et les autorités. Le dimanche 5 juillet, nous avons nettoyé et restauré l'environnement touché. Le lundi matin, Xchanging a pu traiter les polices d'assurance.
Conseils pour rester en sécurité
L'enquête criminelle est en cours et nous saisissons chaque occasion pour revoir nos contrôles et procédures. Presque tout a fonctionné comme prévu. Mais ce n'est malheureusement pas le cas pour de nombreuses organisations. Nous avons analysé ce qui a bien fonctionné, ce qui n'a pas fonctionné et ce que nous pouvons faire mieux.
Voici les cinq points à retenir pour vous protéger et pouvoir réagir :
- Connaître votre infrastructure
- Impliquer la haute direction dès le départ
- Engager rapidement les autorités et les experts
- Ne pas payer
- Etre transparent
1. Connaître votre infrastructure
Concentrez-vous sur l'hygiène de base des correctifs logiciels et assurez-vous que tous les réseaux et pare-feu disposent d'outils de sécurité d'entreprise pour détecter les comportements malveillants.
Les attaquants ont commencé par utiliser un outil de test de sécurité accessible au public appelé « grayware ». Les graywares ne sont pas malveillants en soi, mais dans ce cas, ils ont été utilisés pour créer une porte dérobée sur Microsoft Windows et déployer une nouvelle variante de malware de chiffrement. Bien que nous n'ayons pas empêché l'attaque, nous avons été alertés que quelque chose n'allait pas tout à fait et nous avons pu identifier rapidement où le réseau était compromis lorsque l'attaque était en cours.
2. Impliquer la haute direction dès le départ
Notre équipe de crise mondiale s'est réunie pour évaluer la situation, ce qui était essentiel pour nous car nous avons directement impliqué les hauts dirigeants afin que des décisions critiques puissent être prises rapidement.
Par exemple, nous devions désactiver l'accès à distance, j'ai donc pris la décision de couper toute connectivité aux systèmes Xchanging. Bien que cela semble facile, cela a nécessité une action urgente de la part de nos équipes informatiques au Royaume-Uni et en Inde, et l'engagement du leadership de ces équipes a permis la fermeture rapide et efficace. Tout au long de la réponse, les membres de notre équipe de direction - y compris notre PDG, Mike Salvino - ont participé à l'évaluation de la situation et à la prise de décisions clés. La bonne gouvernance est cruciale en ces temps. Si vous manquez de responsabilité ou de clarté sur qui fait quoi, vous perdez de précieuses minutes que les attaquants exploiteront.
3. Engager rapidement les autorités et les experts
Les experts des autorités et en cybersécurité peuvent fournir des informations précieuses sur la façon de contrer une attaque et de permettre une intervention juridique rapide. Par exemple, le ransomware était configuré pour envoyer des données de Xchanging à des domaines sur le Web aux États-Unis, j'ai donc contacté les forces de l'ordre travaillant ce week-end de vacances. Ce soir-là, nous avons obtenu une ordonnance du tribunal pour prendre le contrôle des domaines Internet des attaquants.
4. Ne pas payer
Les autorités déconseillent fortement de payer des rançons. En fait, les États-Unis et le Royaume-Uni s'emploient à appliquer des sanctions civiles et même pénales pour les paiements de rançon. Dans notre cas, les attaquants n'ont pas demandé d'argent à l'avance. Ils voulaient négocier. Nous savions que nous avions interrompu l'attaque, nous savions qu'ils n'avaient pas nos données et nous savions que nous avions des sauvegardes. Nous étions en position de force, nous n'avons donc pas eu besoin de négocier. Si vous choisissez de négocier avec des cybercriminels, ne faites pas cavalier seul. Trouvez et conservez un courtier en rançon expérimenté - de préférence dans le cadre de la préparation de votre réponse aux incidents, ceci avant que vous ne soyez attaqué.
5. Etre transparent
Vous n'êtes pas obligé de révéler tous les faits, mais l'ouverture est généralement une bonne pratique. Nous avons partagé les indicateurs de compromission (IOC) de l'attaquant avec des centaines de clients. Bien qu'il puisse certainement y avoir des informations que vous ne pouvez pas divulguer (par exemple, lorsque vous êtes soumis à des restrictions de confidentialité des clients ou selon les instructions des forces de l'ordre), le partage d'informations lorsque vous pouvez le faire aide non seulement à assurer la sécurité des autres, mais peut également vous aider à obtenir de l'aide d'un grand nombre de vos collègues, des autorités et de la communauté cybersécurité. Nous avons publié un communiqué de presse le dimanche 5 juillet pour informer les marchés publics, et nous avons poursuivi avec un autre communiqué quelques semaines plus tard pour confirmer le confinement de l'attaque.
Conclusion
Les responsables des autorités à qui j'ai parlé ce week-end ont été surpris que notre attaque soit déjà contenue. La plupart des appels qu'ils reçoivent proviennent de PDG car les équipes informatiques et de sécurité sont très occupées et l'entreprise en est généralement à son troisième ou quatrième jour d'arrêt sans fin en vue.
Nous savons que notre attaque du 4 juillet aurait pu être bien pire. Une combinaison de réponse rapide aux incidents, de contrôles de sécurité et de gouvernance, ainsi que l'utilisation d'outils techniques et de pratiques de l'industrie nous ont donné un avantage sur l'attaquant.
Le « nouveau DXC » s'est montré fort pour relever le défi et garder nos clients à l'esprit à tout moment pendant l'attaque et ses suites.
Et c'est comme ça que j'ai passé mes vacances d'été.
A propos de l'auteur
Mark Hughes est vice-président senior des offres et des partenaires stratégiques chez DXC Technology, responsable de l'organisation et des offres de sécurité mondiales de DXC, y compris la cyberdéfense, l'infrastructure sécurisée, l'identité numérique et la protection des données. Il était auparavant directeur général de BT Security.
Traduit de l'anglais, article original : 5 Lessons We Learned From Our Ransomware Attack (Harvard Business Review)
#cybersecurite #ransomware #gestiondecrise #bonnespratiques