Ransomwares et macOS

Classé dans : À la une, Tendances | 0

L’inquiétude grandit dans les entreprises et administrations suite aux attaques de plus en plus fréquentes de Ransomwares, ou rançongiciels, ces logiciels bloquant l’accès aux données des outils numériques, l’attaque la plus récente étant celle perpétrée sur VSA, la plate-forme de gestion de l’éditeur américain Kaseya, pour infecter les PC sous Windows. Attaque assez comparable à celle à l’encontre de Solarwinds en décembre dernier.

Il est difficile de quantifier aujourd’hui le nombre de clients touchés, étant donné la nature de la plate-forme, dont l’objectif est de gérer les parcs informatiques, et ses exploitants des sociétés de services (ESN et MSP) travaillant pour de nombreux clients finaux. On dénombre déjà la chaîne suédoise de supermarchés Coop, une enseigne néerlandaise de pharmacies et des centaines de sociétés en Europe et aux États-Unis.

L’attaquant, quant à lui, est bien identifié : il s’agit du gang REvil, alias Sodinokibi, vraisemblablement basé en Russie, et qui revendique un million de systèmes infectés. REvil demande des sommes allant de 45 000 dollars à 5 millions de dollars selon la taille des entreprises et leur nature (les sommes les plus élevées touchant les MSP), et vient de proposer un déchiffreur universel pour la coquette somme de 70 millions de dollars. Ce groupe avait déjà attaqué un sous-traitant d’Apple, Quanta, en avril dernier.

 

Un peu de technique

Sophos a analysé l’attaque, et Kaseya a mis en place un « fil rouge » spécialisé : un fichier agent.crt est déposé dans le dossier c:\kworking, qui est distribué sous la forme d’une mise à jour appelée « Kaseya VSA Agent Hot-fix ». Plusieurs fonctions de sécurité de Microsoft Defender (comme la surveillance en temps réel, l’accès contrôlé aux dossiers, l’analyse des scripts et la protection du réseau) sont alors désactivées via une commande PowerShell. Le fichier agent.crt est ensuite décodé par une copie de la commande certutil.exe, qui va déchiffrer la charge utile (encodée en Base64 pour éviter l’analyse statique) afin d’extraire un fichier agent.exe, lui-même signé au moyen d’un certificat valide.

Ce dernier peut alors commencer le chiffrement des données (disques locaux et volumes connectés) en tâche de fond au moyen du fichier intégré « mpsvc.dll », placé dans C:\Windows en compagnie de l’exécutable « MsMpEng.exe », une version expirée de Defender, signée par Microsoft en mars 2014. Le vice va jusqu’à exécuter une commande NetShell pour modifier les paramètres du pare-feu et se lancer à la découverte d’autres machines du réseau local.

Il est à noter que le programme suspend son activité s’il détecte que la langue du système est le russe, ce qui conforte la suspicion de l’origine du programme.

 

Le Mac en danger ?

Si l’on met de coté les faux ransomwares (généralement des malwares pour navigateurs comme FBI Ransom ou Oleg Pliss), les trois cas connus sur Mac sont actuellement Patcher et KeRanger, dont nous avions déjà parlé en 2017, ainsi que EvilQuest/ThiefQuest apparu en 2020.

KeRanger, apparu en mars 2016, s’installait via une version déguisée de Transmission, un client BitTorrent pour Mac, et en utilisant un vrai certificat développeur rapidement révoqué par Apple par la suite. Patcher, apparu en février 2017, identifiée sous le nom OSX.Filecoder.E par ESET, chiffrait quant à lui le contenu des répertoires /Users et /Volumes. Les anti-malwares à jour ont cependant pu rapidement l’éradiquer.

Le malware EvilQuest renommé plus tard ThiefQuest par les chercheurs de MalwareBytes, découvert en juillet 2020, disposait également d’une fonctionnalité de Ransomware mais son objectif principal aurait davantage été de collecter des données. Il était embarqué dans une copie pirate du logiciel Little Snitch (et parfois aussi de Ableton Live, ou Mixed in Key 8) intégrant un script de post-installation permettant son activation. Il pouvait alors transférer les fichiers du Mac vers une autre machine via Internet, rechercher les mots de passe enregistrés, les données des portefeuilles pour les cryptomonnaies, les cartes bancaires enregistrées, activer un keylogger pour récupérer les mots de passe tapés par l’utilisateur et mettre en place une porte dérobée (backdoor) résistant au redémarrage du Mac. Apple a rapidement mis à jour son outil de détection intégré XProtect pour s’en débarrasser, et il n’a été que très peu répandu.

Un historique donc finalement assez pauvre pour macOS en comparaison de la déferlante des menaces sur Windows.

Mais cette récente attaque soulève une problématique bien plus vaste, celle de la diffusion des ransomwares. Jusqu’à présent, ils se diffusaient principalement de façon isolée, principalement portés par des versions détournées de logiciels connus.

Or il apparait actuellement deux nouveaux modes d’action. Tout d’abord, le « ransomware as a service », qui permet à l’auteur d’empocher la majorité de la rançon, mais qui va permettre à des « distributeurs » de diffuser bien plus largement le malware contre rémunération. Le piratage devient ainsi un vrai modèle économique, et une telle motivation ne pourra que démultiplier le nombre d’attaques potentielles à court terme.

Deuxième facteur, les sociétés de services informatique ESN ou MSP utilisent majoritairement aujourd’hui des outils de gestion de parc – « RMM » (Remote Monitoring and Management) ou « MDM » (Mobile Device Management) parmi les dénominations les plus courantes. Dans notre cas, Apple nous incite également à utiliser des outils tels que JAMF Pro, Filewave ou encore Mosyle. Ces outils, qui permettent entre autre de déployer des logiciels et leurs mises à jour, pourraient bien devenir les bras armés de la diffusion de ransomwares. Pour les sociétés de services, il faudra donc porter une attention toute particulière à ces éditeurs qui, à l’instar de Kaseya, subissent des pressions historiques et doivent veiller au maximum à la sécurisation de leurs systèmes.

Toujours est-il que la prudence s’impose plus que jamais sur toutes les plates-formes, macOS et iOS compris. Garder son OS à jour, faire des sauvegardes régulières et installer des outils de protection adéquats sont les prérequis minimum à prendre en compte dans un environnement professionnel. N’hésitez pas à nous contacter pour valider ces points.

 

Marc SALIOUM. Saliou