Sopra Steria: l'hypothèse d’une attaque éclair combinant Ryuk et Zerologon
Victime récente d’une cyberattaque, le fournisseur IT français Sopra Steria a fait les frais d’une nouvelle version du ransomware Ryuk, probablement déployé en exploitant la faille Zerologon pour compromettre l’Active Directory de Windows.
Cible d’une cyberattaque, le fournisseur IT français Sopra Steria a officiellement confirmé les soupçons: il a fait les frais de Ryuk. Plus précisément d’une nouvelle version de ce ransomware qui aligne toujours plus de victimes.
Détectée le 20 octobre, l’attaque a été rapidement confirmée par le prestataire IT qui dans un premier ne donnait pas de détails. Sopra Steria a ensuite fait savoir qu’il s’agissait d’une version de Ryuk encore inconnue des éditeurs d'antivirus. Il a par ailleurs été établi que la cyberattaque avait été lancée quelques jours avant sa détection. Le groupe n’a constaté aucune fuite de données.
Des chercheurs en cybersécurité ont depuis livré davantage d'informations sur le mode opératoire des attaquants. L’hypothèse d'une attaque éclair combinant Ryuk et la vulnérabilité Zerologon est avancée, rapporte Le Mag IT, qui cite un expert évoquant une compromission de l’Active Directory de Windows via la faille CVE-2020-1472 alias Zerologon. Le blog spécialisé en cybersécurité DFIR Report explique que dans ce genre d’attaque, les cybercriminels peuvent augmenter leurs privilèges en utilisant Zerologon, moins de deux heures après le phishing initial. Ils utilisent ensuite une variété d'outils comme Cobalt Strike, AdFind, WMI et PowerShell pour atteindre leur objectif et déployer Ryuk, le tout en à peine 5 heures.
Kaspersky décrit Zerologon comme une faille dans le processus d’authentification cryptographique Netlogon Remote Protocol: «Le protocole identifie les utilisateurs et les machines des réseaux du domaine et est utilisé pour mettre à jour les mots de passe des ordinateurs à distance. En exploitant cette vulnérabilité, un cybercriminel peut se faire passer pour l’ordinateur d’un client, modifier le mot de passe d’un contrôleur de domaine (un serveur qui contrôle la totalité du réseau et exécute les services Active Directory) et obtenir les droits d’administrateur du domaine».
Microsoft a publié début août les patchs qui corrigent cette vulnérabilité.
L'attaque contre le groupe IT Sopra Stera intervient quelques jours après celle qui a mis à mal l’éditeur allemand Software AG, également ciblé par un ransomware (nommé Clop).