Suite à un phishing, une personne voit son accès à un intranet corrompu.
L’entreprise, une métallerie travaillant pour des entreprises et des particuliers, fournit un extranet à ses clients pour la gestion des commandes et des factures.
Cet extranet est aussi un intranet pour elle-même dans le but d’établir sa comptabilité client.
L’attaque
Le processus de l’attaque est assez classique : phishing, accès et escalade de droits.
Une employée reçoit un mail de phishing, clique dessus et fournit un accès à l’intranet à l’attaquant.
Le mail en question simulait l’interface de connexion.
L’attaquant prend alors le contrôle de l’ensemble du site via une escalade de droits liée à des plugins non à jour, en particulier Ultimate Client Dash, le plugin utilisé pour gérer l’accès des clients.
L’attaquant, disposant du site, en verrouille l’accès via un changement de compte administrateur et la suppression des accès des clients.
Il contacte alors l’entreprise et demande une rançon de 0.2 Bitcoin (environ 4000 euros à l’époque) pour rendre l’accès.
La réaction
La métallerie contacte alors l’agence en charge du site, qui prend contact avec moi pour savoir quelles sont les possibilités.
J’explique que l’on va tenter une récupération sans paiement de rançon.
Je commence alors l’analyse. L’agence a mis en place des backups mensuels du site + DB.
L’accès au site est impossible.
Néanmoins, l’attaquant n’a pas pris le contrôle du serveur.
On a la main sur le WordPress.
Par accident, l’agence a laissé le mode débogage activé ; j’ai donc accès aux fichiers de logs.
C’est une très mauvaise pratique, pas du tout conforme au RGPD, mais dans ce cas, ça va nous sauver.
Je propose un devis à 2500 euros.
Plan d’action
Étape 1 : Nettoyage
Dans un premier temps, je récupère le WordPress vérolé en local, je lance une restauration via l’invite de commande wp-cli (changement de compte admin, mise à jour de WordPress et des plugins).
Puis, avec Wordfence, je lance une analyse du site et procède au nettoyage de celui-ci.
Ensuite, je tente d’accéder à la DB.
Elle a été supprimée. C’est trop facile sinon.
Étape 2 : Récupération
Le dernier backup sain date de cinq semaines ; je l’utilise pour restaurer la base.
J’utilise ensuite les logs détaillés mais incomplets pour reconstruire les cinq semaines manquantes.
L’entreprise me fournit le reste des données pour compléter les trous, et j’injecte le tout dans la DB.
Dernière étape, remise en ligne du site avec les données reconstituées et changement des accès administrateurs.
Durée de l’intervention : 3 jours, durée du temps de mise en indisponibilité du service : 12 jours.
Étape 3 : Renforcement
Pour 800 euros, l’entreprise acquiert un serveur de sauvegarde mis sous clé dans ses locaux.
Ce serveur va « pull » quotidiennement les backups distants et les conserver en local.
En sus, je fournis une formation financée à 100 % sur la sensibilisation à la cybersécurité, en insistant fortement sur le phishing et ses impacts.
Le bilan pour l’entreprise :
- La récupération : 2500 euros
- Le serveur local : 800 euros
- La formation de sensibilisation : 0, prise en charge via l’OPCO
La procédure de signalement de fuite a été respectée, les clients avertis.
Cette affaire a une morale : avant de payer une demande de rançon, penchez-vous sur les possibilités de récupération qui s’offrent à vous.
Pur acceder à la formation c'est par ici : Sécurisation des applications web
