Dans les deux premiers articles, nous avons évoqué la manière de se protéger contre les ransomware ainsi que les premières mesures à mettre en œuvre lors d’une attaque. Dans ce troisième volet, nous avons souhaité partager le cas réel d’une entreprise victime d’un ransomware, aidée par l’équipe cybersécurité de Metsys pour un retour à la normale.
Contexte
PME dans le domaine de la logistique et du transport international, la société X* interagit avec près de 400 sous-traitants et un millier de clients. Elle compte moins d’une centaine d’employés sédentaires et nomades. Entre gestion des plannings, suivi des commandes, facturation et paiements, gestion de la paye, etc… l’informatique est une composante importante de la vie de cette entreprise. Celle-ci est d’ailleurs gérée en interne par une équipe de 3 personnes, dont les missions sont principalement les mises à jour logicielles et la prise en charge d’éventuels problèmes utilisateur. Celles-ci ont quelques notions en cybersécurité, mais, pour ces sujets elles ont préféré s’appuyer sur Metsys.
Les faits
Plusieurs employés sédentaires ont reçu dans leur boite mail, un message avec une pièce jointe concernant leur mutuelle. Sans y prendre garde, plus de la moitié a cliqué sur le PDF compromis. Le temps que l’équipe informatique prenne la situation en main et déconnecte les ordinateurs touchés, une partie du système informatique de l’entreprise s’est retrouvée bloqué et bien entendu la demande de rançon ne s’est pas faite attendre ! Sur les conseils de Metsys, celle-ci n’a pas été payée ; en effet, rien ne garantissait qu’après avoir envoyé la somme réclamée, les attaquants n’en demande pas plus.
Rapidement, Metsys a mis en place une équipe pour évaluer les conséquences. Le constat a été violent.
La partie du système qui gère les salaires et le paiement des fournisseurs : bloquée ! Estimation du délai de remédiation : des semaines !
Montant de la perte financière : lourde !
La solution apportée par Metsys
Malgré la situation, Metsys a pu proposer une alternative : reconstruire toute l’architecture du système endommagé. Opération qui s’avère être coûteuse mais pouvant être réalisée en moins d’un mois, ce qui a eu un certain impact sur la productivité, mais encore une fois, moins dommageable qu’une perte financière engendrée par le paiement d’une rançon sans certitude de récupérer les fichiers, ou par une éventuelle nouvelle attaque si le système n’était pas nettoyé.
Opération grand nettoyage
En premier lieu, les équipes Metsys ont déconnecté le serveur infecté (celui hébergeant les outils liés à la direction financière) ainsi que tous les postes de travail. Puis, elles ont réalisé des opérations de forensic pour analyser les fichiers malveillants et ainsi éradiquer le ransomware. Passé cette tâche primordiale, qui peut prendre un certain temps en fonction de la complexité du programme malveillant, Metsys s’est attelé à la reconstruction du système en s’appuyant sur la dernière sauvegarde pour éviter toute réinjection de fichiers corrompus.
Première étape de la reconstruction : sécuriser l’Active Directory, véritable centre névralgique de l’infrastructure informatique. Puis ce sont les postes de travail qui ont subi un profond nettoyage pour éviter toute présence du virus. Enfin, le serveur infecté, qui hébergeait l’application dédiée aux services financiers a, quant à lui, été également reconstruit à partir d’une VM (de l’anglais Virtual Machine – Machine Virtuelle : environnement entièrement virtualisé qui fonctionne sur une machine physique, elle exécute son propre système d’exploitation) et des dernières sauvegardes.
Pour les salariés, cet arrêt a été compliqué à gérer. En effet, il leur était impossible de se connecter au serveur, ni à Internet, ils ne pouvaient travailler qu’en local, c’est-à-dire à partir des fichiers enregistrés sur leur propre ordinateur.
En parallèle de la remédiation technique, les équipes ont réalisé un plan d’actions sur la base de l’analyse de l’existant, afin de proposer la meilleure défense possible pour éviter toute nouvelle attaque. Ce plan comprenait un certain nombre de déploiements de solutions Microsoft (Defender, EDR, Intune pour les postes de travail mobiles…), ainsi que la migration vers Office 365. Enfin, pour garantir une sécurité optimale, Metsys a recommandé la mise en place d’un SOC** (Security Operation Center : centre de supervision et d’intervention à des incidents de cybersécurité d’une entreprise) permettant ainsi une surveillance globale des assets de l’entreprise.
Bilan
15 jours après la mise en œuvre de ce plan d’action, l’équipe IT du client a pu observer, via ses outils internes de monitoring, une augmentation significative de son score de sécurité. Celui-ci est passé de 15% à 65% !
Pour conclure, laissons la parole au dirigeant :
Rester humble face aux cyberattaques, redoubler de vigilance et s’entourer de spécialistes pour faire face le plus sereinement possible aux situations les plus complexes. Metsys pourra en témoigner, notre SI n’était pas si vulnérable que ça (Win10 patché, BitLocker, pas de droit admin, réplication Azure, …) et malgré tout, cela n’a pas suffi. Les hackers sont comme de l’eau qui s’infiltre dans les moindres interstices d’un bâtiment. Une fissure et ça rentre…
*Pour des questions de confidentialité, le nom de la société a été anonymisé
Vous arrivez en cours de route ? Découvrez nos autres épisodes de la série des ransomware :
