Afpa : « ce qui nous a sauvé, c’est la détection »
Le groupe de cybercriminel Doppelpaymer a revendiqué ce week-end une attaque informatique au ransomware ayant visé l’Afpa, l’Agence pour la formation professionnelle des adultes. Sur leur site, le groupe Doppelpaymer listait ainsi l’agence parmi les nouvelles victimes, affichant plusieurs exemples de fichiers volés ainsi qu’une liste de machines appartenant à l’Afpa sans donner plus de détails.
Comme l’explique l’agence contactée par ZDNet.fr, l’attaque a bien eu lieu mais celle ci remonte déjà au début du mois de mars et a rapidement été contenue par les équipes. L’attaque a eu lieu dans la nuit du samedi 7 mars, comme c’est souvent le cas pour les attaques de ransomware. « C’est visiblement une attaque organisée et préparée : les attaquants ont récupéré les identifiants de plusieurs comptes administrateurs, ce qui leur a permis de prendre la main sur le système d’information », nous explique la DSI de l’Afpa. Pendant plusieurs heures, dans la nuit de samedi soir, la DSI perd le contrôle de son système d’information avant de finir par récupérer la main.
L’impact de l’attaque est néanmoins resté limité : si l’ensemble du parc (plus de 50 000 machines) était effectivement infecté par le logiciel malveillant, le processus de chiffrement a été bloqué sur la plupart des machines. « Au total, seuls trois PC et une centaine de serveurs ont été effectivement chiffrés par les attaquants. Tout à été mis sous cloche pour analyse et dès le lundi matin, tout le monde a pu travailler normalement », indique la DSI de l’agence, qui précise n’avoir pas vu de demande de rançon.
Des conséquences minimes
L’agence a rapidement informé la CNIL et les autorités de l’attaque et de la potentielle fuite de données. Si le volume exact de données exfiltrées reste pour l’instant inconnu et difficile à estimer, l’agence estime que les données en question n’ont rien de confidentiel ou de sensible. Sur le site de Doppelpaymer, on retrouve une liste de fichiers que les attaquants affirment avoir dérobé sur les systèmes de l’Afpa. On retrouve également une liste de 65 000 appareils, mais qui ressemble selon la DSI de l’Afpa à un « dump de l’Active Directory, visiblement pas à jour » plutôt qu’une liste de machines chiffrées.
L’Afpa indique qu’un audit en détail de l’attaque est toujours en cours afin de déterminer exactement le déroulé de l’attaque, et les mécanismes qui ont permis de bloquer le chiffrement de la majorité des machines. « Il y a plusieurs éléments qui semblent avoir joué, notamment dans la configuration des masters que l’on utilise, mais c’est surtout la détection rapide de l’attaque et la réaction immédiate des équipes, qui sont parvenus à annuler plusieurs tâches planifiées de déclenchement du logiciel malveillant dans les heures qui ont suivi la découverte de l’attaque, qui nous ont permis de limiter les dégâts », précise la DSI de l’agence, qui ajoute que l’impact pour les employés est au final resté minime.
L’Afpa s’en tire néanmoins à bon compte au vu du profil des attaquants. Doppelpaymer est en effet un groupe d’attaquants connu, actif depuis l’été 2019. Il a à son actif plusieurs attaques contre des entreprises : en France, l’opérateur Bretagne Telecom a notamment été visé par une attaque de ce groupe au début de l’année. A l’international, le groupe Doppelpaymer s’est également attaqué à Pemex, l’entreprise d’exploitation pétrolière mexicaine en fin d’année 2019. Ce groupe utilise un ransomware qui montre des similarités avec celui utilisé par le groupe BitPaymer (FriedEx) mais les deux groupes semblent continuer leurs attaques en parallèle.
