Comment une banque a réussi à contrer une demande de rançon et une attaque chiffrée en SSL

Les demandes de rançons sur fond de cyberattaques gagnent en popularité et constituent désormais la menace principale pour les entreprises. Depuis 2016, leur volume a été multiplié par huit.

Il y a quelques mois, un de nos clients, une banque internationale, a reçu un e-mail typique de demande de rançon émanant d’Armada Collective, rapidement suivi par une première attaque volumétrique (flood) que la banque a pu contenir rapidement de façon proactive. Le service informatique de la banque a même détecté et contenu l’attaque flood avant que nous ayons connaissance de l’e-mail, expédié à une adresse qui n’est pas consultée en dehors des horaires d’ouverture. Une solution anti-DDoS hybride a permis d’éviter tout dommage et l’attaque a été redirigée vers un scrubbing center (un centre technique spécialisé qui « nettoie » le trafic).

Cette banque est en Afrique du Sud et donc assez isolée du reste du monde. Ceci a des implications sur sa capacité à se protéger (en termes de temps de latence par exemple) mais aussi sur la capacité pour les hackers à lancer des attaques volumétriques de plus d’un demi-téraoctet de trafic. Par mesure de sécurité, quand un client reçoit une attaque volumétrique (flood) avec un message de demande de rançon, il a la possibilité de rediriger le trafic réseau vers notre centre de nettoyage, avant l’échéance de paiement de la rançon. Souvent, les hackers à l’origine de la demande de rançon constatent cette redirection et réalisent qu’il est vain de lancer une attaque teaser. Nous considérons aussi que c’est un signal clair adressé à Armada Collective et aux groupes de rançonneurs similaires. En prenant des décisions fermes et en agissant fortement, nous envoyons le message que nous refusons d’être victimes.
En avril 2016, la même banque a reçu un autre e-mail de demande de rançon censé provenir de Lizard Squad. Une association locale de gestion des risques bancaires lui a alors confirmé que ces e-mails étaient le travail d’un imitateur. Sachant que c’était un hoax, la banque a décidé de ne pas rediriger le trafic. Cependant, elle a reçu une petite attaque teaser et a finis par solliciter l’aide de nos experts.

Contrer les attaques volumétriques camouflées

Depuis début 2016, la diversité des vecteurs d’attaque n’a cessé d’augmenter et cette banque reçoit quatre fois plus d’attaques en rafales. Dans le même temps, les attaques de plus d’une heure ont reculé. La tendance semble aller aux assauts très brefs de type « hit and run ». Mais toutes les attaques ne sont pas des attaques en rafales. En septembre 2016, la banque a été victime d’une attaque relativement petite (2-3 Gbit/s seulement) mais qui a duré quatre heures avec plusieurs stades d’évolution progressive. Dans un premier temps, elle a constaté que certaines attaques étaient des attaques ping-back. Elle a été visés par 16 000 requêtes de connexion SYN, ce qui est important pour l’Afrique du Sud, mais notre appliance anti-DDoS déployée sur site a permis de les bloquer. Après l’attaque Half-SYN, une attaque volumétrique HTTP comptant quelque 2 000 sources a aussi pu être maîtrisée.

En revanche le service informatique a rencontré des difficultés pour bloquer l’attaque HTTPS flood qui a suivi, ce qui nous amène à la nécessité d’une protection dédiée contre les attaques chiffrées en SSL visant à tromper les contrôles de sécurité. Normalement, la banque fait face à des attaques UDP fragmentées suivies par une attaque DNS réflective. Dans le cas présent, c’est une attaque SSL typique qui s’est présentée et pour laquelle elle n’était pas préparée. Ces attaques durent le plus souvent entre trois et quatre minutes et elles se suivent immédiatement. Cette attaque SSL a duré une heure et demi, faisant peser une formidable pression sur ses défenses du fait des ressources mobilisées. La réponse était tellement nourrie que la connexion sortante a atteint ses limites : trois fois le débit habituel.

Quels enseignements tirés de cette attaque ?

1. Les avantages de l’analyse comportementale par rapport à l’analyse de limitation de débit.
Par le passé, cette banque avait testé une solution anti-DDoS qui utilisait une technologie de limitation de débit et nous avons confirmé que l’analyse comportementale apportait un avantage de taille : comme elle ne bloque pas le trafic légitime, elle nous permet de maintenir nos niveaux de service.
2. L’importance du délai d’intervention.
Ayant la possibilité de développer les signatures d’attaque en temps réel, il a fallu 20 secondes seulement pour détecter et bloquer les attaques. Sachant que la banque enregistre un trafic nettement plus dense le jour que la nuit, elle a procédé à des réglages fins pour refléter différents modèles de comportement du trafic à différents moments de la journée.
3. Les avantages d’utiliser la solution hybride anti-DDoS d’un fournisseur unique.
Les données de référence pour son périmètre sont désormais identiques à notre centre de nettoyage. Elle peut donc bloquer les attaques plus rapidement qu’avec une autre solution qui devrait réanalyser le trafic dans le cloud ou qui exigerait des réglages manuels importants pour atteindre le même niveau de protection.

Conseils aux professionnels de la sécurité du secteur des services financiers


Certains croient que les attaques difficiles à détecter ne constituent pas une menace importante, mais pour une banque, rien n’est plus éloigné de la vérité. Le déploiement permanent et « in-line » de la protection est le plus efficace en cas d’attaque. Un tel déploiement évite de devoir analyser les événements et rediriger le trafic et il élimine tout ce qui pourrait faire obstacle au blocage effectif de l’attaque au niveau de l’infrastructure. La détection est supérieure puisque la solution est opérationnelle en permanence. Avec une solution automatisée de protection contre les attaques, et l’analyse comportementale qui assure une détection continue et apporte des preuves légales, il est possible de se prémunir des évolutions futures des attaques DDoS.

SSL / Appliance