Comment le leader mondial des data centers a contré l’attaque par rançongiciel de NetWalker

Michael Montoya, Chief Information Security Officer de la société Equinix, a dévoilé les coulisses de la gestion de crise suite à la découverte de l’attaque par rançongiciel de NetWalker en septembre 2020.

Partager
Comment le leader mondial des data centers a contré l’attaque par rançongiciel de NetWalker

C’est un retour d’expérience encore trop rare, ce qui le rend d’autant plus passionnant à écouter. Dans une interview de 45 minutes accordée au podcast anglophone Risky Business, spécialisé sur la sécurité informatique, Michael Montoya, le responsable de la sécurité des systèmes d’information d’Equinix, s’est confié sur les coulisses de l’attaque subie par ce leader mondial de l’hébergement informatique il y a près de dix-huit mois. Si les circonstances techniques de l’agression ne sont évoquées que de façon générale, l’entretien est cependant très instructif sur la façon dont est vécue une telle crise.

L’entrée dans la crise
Pour Equinix, qui compte 220 centres de données dans le monde, dont des installations en région parisienne et à Bordeaux, l’épreuve commence en septembre 2020. La franchise mafieuse NetWalker lui réclame 4,5 millions de dollars. Ce type de crise ne commence "certainement pas au milieu de la journée durant la semaine de travail", observe Michael Montoya. Pour opérer en toute discrétion, les cybercriminels privilégient en effet les périodes de moindre activité.

C’est ce qu’il s’est passé pour Equinix. Ce week-end là, Michael Montoya, un ancien cadre de Microsoft et de la société de cybersécurité FireEye embauché en octobre 2019, est parti pêcher avec son fils. Mais à son retour à son domicile, il est dérangé par son équipe de sécurité. Ses agents sont étonnés par l’exécution d’une commande PowerShell vers un site de partage de code Github.

Et effectivement, l’alerte est sérieuse. Ils découvrent que des attaquants tentent de se déployer dans leur système d’information, par l'intermédiaire de GitHub, en utilisant Cobalt Strike, un outil de sécurité détourné par les cybercriminels. Un mode opératoire conforme à ce qui a déjà été observé sur NetWalker, ce rançongiciel apparu à l’été 2019.

L’observation
Avec sang-froid, la sécurité informatique d’Equinix reste calme. Il s’agit d’être discret pour ne pas faire savoir à l’attaquant qu’il est repéré. L’équipe de Michael Montoya estime que les intrus ont six heures d’avance. Elle va désormais tenter de recueillir le maximum de renseignements avant d’agir. Ce temps nécessaire d’observation avant l’action est à la fois long et très court: environ deux heures après l’alerte.

Puis, poursuit Michael Montoya, "nous avons commencé à prendre des mesures, en les mettant dans une position où ils seraient forcés de mettre les mains sur le clavier". Concrètement, les agents d’Equinix ferment des ports informatiques et empêchent les attaquants de se déplacer dans le système d’information selon les routines prévues. Autant d’actions qui alertent évidemment les intrus. Ces derniers finissent par déployer leur rançongiciel. Il ne s’est écoulé qu’environ 4h30 depuis la première alerte.

Pour Michael Montoya, cette façon de procéder a permis de diviser la surface visée par dix. Malgré tout, les attaquants "ont pu mettre la main sur quelques serveurs de fichiers et entrer dans certains de nos systèmes", concède-t-il. Certes, l’entreprise est touchée, avec 1800 stations de travail et serveurs chiffrés. Mais pas ses clients directs, grâce à une bonne segmentation du réseau. Ce qui aurait été catastrophique pour cet hébergeur de données informatiques, pesant 62 milliards de dollars de capitalisation, et qui a réalisé en 2021 un chiffre d’affaires de 6,6 milliards de dollars.

Une saine paranoïa
Le déploiement du rançongiciel lance l’activation du plan de gestion de crise. "L’une des choses qui nous a vraiment aidé, c’est que nous avons fait des exercices, remarque Michael Montoya. Ce n’est pas comme si nous avions dû créer ces procédures à la volée. Comme disent les militaires, il faut s'entraîner comme au combat et se battre comme on s’entraîne."

Pour la sécurité informatique, cela veut dire ouvrir le feu nucléaire - en clair, remettre à zéro toute son infrastructure Par exemple, la suite logicielle System Center Configuration Manager (SCCM), qui permet de gérer le parc d’ordinateurs, n’est plus considérée comme fiable. De même, tous les mots de passe de l’entreprise sont réinitialisés. "Honnêtement, ce n’était pas nécessaire, mais nous avons pensé que c’était une bonne mesure d’hygiène", poursuit Michael Montoya. "La leçon que nous avons retenue, c’est que l’urgence doit juste faire partie de notre ADN: la sécurité est une question d'urgence et de rapidité", ajoute-t-il.

Le travail d’enquête
L’équipe de sécurité informatique va ensuite tenter de préserver un maximum de preuves, c’est-à-dire les fichiers de journalisation des pare-feux ou des terminaux, destinés notamment à alimenter le dépôt de plainte. Un dépôt privé GitHub est mis en place pour partager les informations nécessaires à l’enquête.

Comme pressenti en septembre 2020, les attaquants sont rentrés chez Equinix grâce à une vulnérabilité liée à RDP (Remote Desktop Protocol), un protocole d’accès à distance développé par Microsoft. Ce n’est pas une surprise : dans une conférence récente, le FBI, le bureau fédéral d’enquêtes judiciaires estimait que 70% à 80% des attaques par rançongiciels débutaient ainsi. Les analyses ultérieures montreront que les attaquants s’étaient infiltrés depuis 19 jours.

La rançon
Il l'avoue humblement : ils ont eu "de la chance". Non seulement les sauvegardes de l’entreprise sont bonnes, mais en plus, la restauration des données a bien fonctionné. Une très bonne nouvelle pour l’entreprise, qui n’est plus à la merci du chantage des cybercriminels sur le chiffrement. Reste toutefois la deuxième extorsion possible, la menace de la divulgation d’informations internes. La société Equinix a-t-elle payé pour éviter leur publication? L’effort de transparence de la firme, qui botte en touche, s’arrête là.

Le rôle du responsable de la sécurité des systèmes d’information aussi. S’il précise avoir été "très impliqué" dans la réflexion interne, c’est le service juridique qui a pris le relais pour une décision relevant au final du conseil d’administration. On ignore donc si une rançon a été payée. Le rapport annuel de l’entreprise précise simplement, de manière ambiguë, que l’incident informatique a été contenu et que sa “résolution empêchera la publication de toutes les données associées à l'attaque”.

Après un premier message public écrit le 9 septembre, Equinix annonce avoir clôturé son enquête interne le 14 octobre. Quant au gang NetWalker, suspecté par le cabinet Chainalysis d’avoir touché au moins 46 millions de dollars de rançon en deux ans d’existence, il sera visé en janvier 2021 par une importante opération judiciaire menée par les Etats-Unis et la Bulgarie.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS