Cas réel de Ransomware
-
Sujets :
- DiskCryptor,
- bitcoin,
- Ransomware
Comme nous l’évoquions dans le précédent article « Cryptojacking : Quand les attaquants en veulent à votre CPU » la valeur des cryptomonnaies ayant récemment décuplée, les pirates deviennent avides de tout moyen permettant d’en obtenir.
L’un de ces moyens étant la compromission et le chiffrement d’un système, les pirates demandent alors une rançon. Bien souvent celle-ci demande à être payée en Bitcoin, pour des raisons d’anonymat.
Digitemis a récemment été mandaté par un client suite à la compromission d’un de ces systèmes. Nous vous proposons de vous exposer un retour d’expérience ayant amené Digitemis à retrouver les données chiffrées.
Timeline des évènements :
Durant un week-end, le client est victime d’une attaque informatique. Il ne s’en rend compte que le lundi, en arrivant sur place et en observant une demande de mot de passe sur l’un de ses serveurs :
Après vérification, l’intégralité des serveurs a été chiffré, les sauvegardes n’étant pas déconnectées du réseau, les pirates les ont supprimées. Le client vient à cet instant de perdre 25 ans de données.
Suite à une rapide analyse post-mortem, les pirates seraient rentrés au travers d’une connexion RDP via l’utilisation d’identifiant et mot de passe par défaut d’un applicatif installé. Des informations supplémentaires fournies par les attaquants ont permis d’identifier que l’attaque menée, bien que non ciblée spécifiquement contre le client, n’était pas le fruit d’une attaque de masse. Plusieurs actions manuelles ont été réalisées.
Intervention de Digitemis :
Un premier contact avec les pirates est effectué le jour même afin de connaitre la procédure permettant d’obtenir les mots de passe :
La rançon est alors fixée à 2 Bitcoins (l’équivalent de 16 000€ au moment des faits) :
Les pirates fournissent également un exemple de mot de passe permettant de prouver qu’ils détiennent véritablement les mots de passe :
Ce mot de passe se présente sous la forme d’un PIN à 8 chiffres et permet effectivement de déchiffrer l’intégralité du disque. Plusieurs informations peuvent alors être récupérées grâce à ce PIN :
- L’outil utilisé pour chiffrer le disque via l’analyse des applications récemment installées, ici : DiskCryptor ;
- Le format des mots de passe utilisés, ici : un PIN semblant être composé uniquement de chiffres. Nous partons alors du principe que la valeur du PIN peut varier de 1 à plusieurs milliards.
Analyse de DiskCryptor
Dans un premier temps, il a été nécessaire d’étudier les algorithmes de chiffrement supportés par DiskCryptor afin d’identifier d’éventuelles faiblesses dans l’implémentation de la cryptographie. DiskCryptor supportant les 3 algorithmes suivants :
- AES-256
- Twofish
- SERPENT
À ce jour, ces algorithmes ne sont pas considérés comme vulnérables, il n’était donc pas imaginable de réaliser une attaque par force brute pour obtenir la clef de déchiffrement, le temps d’exécution étant le principal problème.
Dans un second temps, la méthode de déchiffrement du disque a été analysée. Il existe deux moyens de réaliser le déchiffrement :
- Soit au travers de l’interface graphique :
- Soit au travers de l’API disponible en ligne de commande :
Le binaire dccon.exe renvoie un message différent en fonction du succès ou de l’échec du montage du disque :
Dès lors, il ne restait plus qu’à réaliser une attaque par brute-force pour tester toutes les combinaisons.
Mise en place d’un brute force :
Le client évoluant dans un environnement virtuel, il s’agissait dans un premier temps de convertir les images VmWare en « disque physique » à l’aide de qemu :
Après le montage de l’image raw, il est alors possible de la copier sur une clef USB, afin d’en réaliser une copie « physique » :
Il n’est pas nécessaire de copier l’intégralité du disque, seuls les premiers octets sont nécessaires.
Une fois cette étape terminée, il convenait de réaliser un script permettant de tester toutes les possibilités :
Il ne restait plus alors qu’à exécuter ce script en incrémentant au fur et à mesure les combinaisons testées.
À titre d’information, et au vu de la puissance de calcul disponible, nous avions calculé qu’il était possible de tester par machine, environ 1 million de possibilités en 7h.
Après quelques jours de calculs sur plusieurs machines, le code PIN est alors tombé :
Conclusion de cette expérience
Bien que l’attaque ait provoqué des dégâts non négligeables au sein du système d’information en termes de disponibilité et d’intégrité des données, il n’en demeure pas moins que les outils utilisés et la complexité de l’attaque réalisée ne demandait pas un niveau d’attaque très élevé.
Plusieurs contre-mesures permettant de limiter le risque d’une telle attaque peuvent être définies suite à cette expérience, à savoir :
- L’analyse des règles de pare-feu afin de détecter des règles trop permissives ;
- Le changement de tous les mots de passe par défaut des applicatifs exposés sur internet ;
- L’analyse des procédures PCA/PRA afin de s’assurer de la bonne gestion des sauvegardes hors-ligne ;
- La réalisation périodique d’audits de sécurité (tests d’intrusion internes / externes).
Derniers articles

DPO interne ou externe : les clés pour faire le bon choix
La désignation d’un DPO est une disposition essentielle du RGPD pour être en conformité (article 37 à 39 du RGPD). Elle est obligatoire dans certains cas et reste fortement conseillée pour les autres. En tant que responsable de traitement, vous avez le choix de nommer un DPO en interne ou bien d’externaliser cette fonction. A travers cet article, découvrez les points de vigilance à intégrer à votre réflexion.

Comment évaluer la résilience de votre entreprise face aux attaques informatiques ?
La résilience en cybersécurité est cruciale pour toutes les entreprises, quel que soit sa taille ou son secteur d’activité. Cela englobe la capacité à anticiper, prévenir, et récupérer de diverses menaces informatiques. Digitemis vous aide à évaluer votre résilience.