Chronologie d’une attaque par rançongiciel
Le travailleur à distance rançonné
Les pirates informatiques tirent pleinement parti du passage au travail à distance en ciblant l’une des plus grandes vulnérabilités cybernétiques des entreprises : leur main-d’œuvre. Les organisations doivent demeurer vigilantes et prendre des mesures proactives pour repérer les vulnérabilités cybernétiques nouvelles et émergentes associées au travail à distance, afin de pouvoir s’en protéger.
Si un travailleur à distance est victime d’une cyberattaque, les conséquences pour l’entreprise peuvent être dévastatrices. L’an dernier, les rançongiciels ont coûté aux entreprises plus de 8 milliards de dollars5 à l’échelle mondiale, et la COVID-19 risque de faire gonfler ce chiffre davantage en 2020. Un scénario fictif démontre à quel point une telle attaque peut survenir facilement.
Vendredi
Compromission initiale
16 h 27 | Ryan travaille à distance, conformément aux directives de son entreprise relatives à la COVID-19.
17 h 28 | Ryan reçoit un courriel qui semble provenir de l’agence de voyages de l’entreprise et qui décrit les mesures urgentes requises pour annuler les voyages à venir en raison de la pandémie.
17 h 39 | Il clique sur le lien du site Web dans le courriel afin d’annuler son prochain voyage pour participer à une conférence qui a été reportée. Ne sachant pas qu’il s’agissait d’un lien malveillant, Ryan a tout simplement, sans le savoir, permis à des pirates hautement qualifiés utilisant des rançongiciels de s’infiltrer dans le réseau de l’entreprise.
La fin de semaine passe, les criminels ont commencé leur travail et l’attaque n’a pas été repérée.
Lundi
L’attaque demeure non détectée
9 h 33 | Ryan se rend compte qu’il ne peut pas accéder à certains fichiers de son ordinateur portable. Il envoie un courriel à l’équipe des TI et continue de travailler en se disant qu’il pourrait s’agir d’un simple problème de connexion.
Il ne soupçonne rien d’inhabituel, car les problèmes informatiques ont été fréquents depuis le passage au télétravail. Au cours de la fin de semaine, le rançongiciel s’est propagé dans tout le réseau de l’entreprise.
17 h 17 | Ryan termine son travail de la journée et se déconnecte. Pendant ce temps, les pirates informatiques ont misé sur la compromission initiale pour circuler dans le réseau de l’entreprise et accéder à une quantité croissante de données de l’entreprise.
17 h 29 | Le personnel des TI examine le billet soumis par Ryan; ils étaient très occupés à entretenir les systèmes déployés afin de pouvoir faire face au travail à distance à grande échelle.
17 h 35 | L’équipe des TI envoie des instructions à Ryan pour qu’il reconfigure ses connexions au réseau et qu’il les appelle le matin suivant si le problème persiste.
L’équipe de TI a récemment réglé plusieurs problèmes de connectivité où les gens ne pouvaient pas accéder aux fichiers stockés et ce problème ne semble pas différent. Sans accès physique à son ordinateur portable, l’équipe suppose que les récentes mises à jour du réseau résoudront le problème.
Mardi
L’attaque est signalée et repérée
7 h 22 | Les pirates informatiques ont eu le temps de verrouiller les comptes dans l’ensemble du réseau de l’entreprise et d’extraire des données critiques.
8 h | Les pirates informatiques sont passés à l’action, ont crypté les fichiers de l’entreprise et préparé une demande de rançon qui s’affichera après l’ouverture de session par les employés.
8 h 30 | Ryan et ses collègues ouvrent leur session dans le réseau de l’entreprise pour se retrouver face à un message indiquant que leurs systèmes ont été infectés et sont contrôlés par un groupe de piratage notoire. Pour déverrouiller les dossiers, les pirates informatiques demandent à l’entreprise de leur envoyer un paiement de 100 000 $ en devises non retraçables. L’ensemble de l’entreprise est subitement paralysée, les employés n’ont pas accès aux TI et ne sont pas en mesure de fonctionner à distance, ce qui comprend les services relatifs aux activités, aux fournisseurs et aux clients. Les TI (et Ryan) ignorent toujours l’origine de l’attaque. Le personnel des TI tente d’évaluer l’ampleur de l’attaque.
9 h | Les cadres de l’entreprise en sont informés; on interroge l’équipe des TI sur la meilleure façon d’intervenir et celle-ci décide de faire appel à des enquêteurs. Le chef de la direction demande des mises à jour toutes les heures et envoie un compte rendu par courriel au conseil d’administration.
9 h 12 | Un document d’entreprise très sensible et confidentiel est publié en ligne, accompagné d’un message indiquant que d’autres données seront divulguées dans l’heure qui suit si la rançon n’est pas versée. L’attaque est pire que prévu, le document porte gravement atteinte à la réputation de l’entreprise et les téléphones commencent à sonner avec des appels provenant de clients et de partenaires inquiets.
9 h 45 | Les dirigeants de l’entreprise tiennent une réunion virtuelle d’urgence. Ils ne savent pas s’il vaudrait mieux payer et ne connaissent pas l’étendue des répercussions. Les cadres définissent le problème comme une priorité critique; ils ont déjà éprouvé des problèmes de continuité en raison de la COVID-19. Ils font une déclaration publique au sujet de l’atteinte aux données et le chef de la direction se retrouve inondé d’appels des médias qui veulent connaître l’ampleur du problème.
15 h | Après avoir effectué une analyse initiale, le chef des finances croit que l’entreprise ratera des ententes avec plusieurs fournisseurs, ce qui leur coûtera des sommes considérables. L’équipe des Ventes a reçu des appels de principaux clients annulant des commandes en raison des reportages dans la presse – un sentiment de panique s’est propagé à l’échelle de l’entreprise.
Jusqu’à ce que le système puisse être rétabli, l’entreprise subit une perte de productivité importante et des retards de commandes pour plusieurs gros clients, ce qui pourrait entraîner des pénalités financières et juridiques.
Lundi suivant
Mesures correctives
12 h 04 | Les spécialistes qui enquêtent sur l’attaque identifient le courriel malveillant et en informent les cadres de l’entreprise. Ils ont remarqué des niveaux élevés d’activité dans le compte de Ryan pendant la fin de semaine, en dehors des heures de travail, et ont utilisé cette information pour cibler le courriel malveillant. Le rançongiciel utilisé est lié à des groupes d’attaques de pointe bien connus.
13 h | À l’aide de ces renseignements, l’équipe des TI peut rétablir certains services de base pour les employés. En raison du chiffrement des données, des données importantes sont perdues et certains systèmes demeurent fermés – les gens ne sont toujours pas en mesure d’accomplir leurs tâches.
14 h | Le chef des technologies de l’information informe les cadres supérieurs de la cause fondamentale du problème et des mesures correctives recommandées. Cela comprend une reconstruction complète du réseau de l’entreprise et des mises à niveau de protection des TI qui n’étaient pas prévues au budget. Le chef de la direction convient qu’il s’agit d’une priorité, malgré que ces importantes dépenses n’étaient pas prévues au budget.
15 h | Le chef des finances informe le chef de la direction et les cadres des répercussions financières de l’attaque, qui sont majeures. Le chef de la direction prépare une séance d’information à l’intention du public et reçoit un appel urgent du conseil d’administration.
Cliquez ici pour demander une évaluation en ligne des risques cybernétiques. (en anglais)
1 https://www.sdxcentral.com/articles/news/ransomware-attacks-spike-148-amid-covid-19-scams/2020/04/
2 https://www.csoonline.com/article/3532825/6-ways-attackers-are-exploiting-the-covid-19-crisis.html
3 www.ncsc.gov.uk/news/covid-19-exploited-by-cyber-actors-advisory
5 https://www.acronis.com/en-us/articles/costs-of-ransomware-attacks/