ClickFix et Velvet Tempest : une porte vers les ransomwares
Alerte Sécurité : Intrusion par Ransomware "Velvet Tempest"
Une campagne active exploitant une technique d'ingénierie sociale baptisée "ClickFix" a récemment permis au groupe Velvet Tempest d'obtenir un accès initial puis de déployer un ransomware sur des environnements de production. Cette menace combine un message trompeur, l'abus de mécanismes d'installation automatique et des procédures d'escalade de privilèges pour maximiser l'impact. Les organisations exposées doivent considérer cette situation comme urgente et appliquer les mesures décrites ci-dessous sans délai.
Les faits
- Qui : Velvet Tempest, collectif associé à des opérations de rançongiciels connu pour viser des organisations où l'impact opérationnel et la valeur des données sont élevés. Selon des analyses publiées, ce groupe est impliqué dans des opérations récentes liées au vecteur ClickFix¹.
- Quoi : L'attaque commence par un message incitatif invitant un utilisateur à cliquer sur un élément présenté comme une réparation urgente. Le clic installe un petit client malveillant ou redirige vers une fausse page d'authentification, permettant le vol de credentials ou l'exécution de code initiale. Une fois l'accès obtenu, des outils de persistance, de dumping d'identifiants et de mouvement latéral sont utilisés avant l'exfiltration et le chiffrement des données¹ ².
- Quand : Les techniques observées ont augmenté en fréquence depuis 2022-2023, avec une documentation technique et des alertes publiques récentes¹ ².
- Où : Les secteurs les plus touchés incluent les services professionnels, l'industrie légère et certaines collectivités locales, où des comptes disposant de droits étendus peuvent accroître l'impact d'un déploiement de ransomware.
Chaîne d'attaque détaillée
Phase 1 - Leurre "ClickFix"
Un message - email, notification ou popup interne - alerte l'utilisateur d'un problème et l'invite à "Click to Fix". Le lien exécute un installateur ClickOnce ou un package ms-appinstaller, ou renvoie vers une page d'authentification falsifiée pour récolter des identifiants¹.
Phase 2 - Persistance
L'attaquant installe un agent léger et met en place des mécanismes de persistance (tâches planifiées, services mal configurés, comptes de service). Ces composants servent de point d'appui pour maintenir l'accès et préparer les étapes suivantes.
Phase 3 - Élévation et mouvement latéral
Des techniques de credential dumping et la réutilisation de comptes permettent d'étendre l'accès à d'autres hôtes. L'utilisation de comptes administrateurs ou de privilèges de domaine accélère la compromission d'infrastructures critiques.
Phase 4 - Exfiltration et chiffrement
Avant de lancer le chiffrement, l'attaquant exfiltre des ensembles de données sensibles afin d'augmenter la pression pour obtenir un paiement. Ensuite, le ransomware est déployé pour rendre les systèmes indisponibles et chiffrer les sauvegardes insuffisamment protégées².
Signaux de compromission à surveiller
- Installations ClickOnce ou ms-appinstaller non autorisées sur des postes de travail.
- Tâches planifiées inconnues, services locaux nouvellement créés, ou binaires avec signatures non conformes.
- Activité de credential dumping et création/modification de comptes locaux ou de service.
- Connexions sortantes chiffrées vers serveurs inconnus et transferts de volume de données anormaux.
- Alertes EDR corrélées entre endpoints et trafic réseau montrant mouvement latéral.
La corrélation des journaux endpoints et réseau permet de reconstituer la séquence d'intrusion et d'identifier les points d'origine¹.
Actions immédiates requises (ordonnancement et objectifs)
Les mesures ci-dessous doivent être appliquées en priorité, en commençant par les contrôles qui réduisent le vecteur ClickFix et limitent la capacité de l'attaquant à persister et se déplacer.
- Inventoriez et contrôlez tous les mécanismes d'installation d'applications automatisées, notamment ClickOnce et ms-appinstaller. Bloquez ou restreignez ces canaux aux sources de confiance. Deadline : dès que possible, idéalement dans les 24 heures.¹
- Désactivez l'exécution automatique des installateurs et imposez une approbation administrative pour toute installation via ces canaux. Documentez les exceptions et surveillez tout contournement. Deadline : dans les 24 heures.
- Activez une authentification multi-facteur pour tous les accès à privilèges et pour les portails d'accès distants. Limitez et surveillez l'utilisation d'outils d'accès à distance. Deadline : dans les 48 heures.²
- Renforcez la segmentation réseau et appliquez le principe du moindre privilège. Restreignez l'administration aux postes strictement nécessaires et limitez les chemins d'accès vers les serveurs critiques. Deadline : dans les 48 heures.
- Déployez ou durcissez des solutions EDR/DETM avec capacités de détection comportementale et mise en quarantaine automatique. Assurez-vous que les règles couvrent les exfiltrations et les techniques de credential dumping. Deadline : dans les 48 heures.²
- Validez et testez vos sauvegardes, vérifiez l'immutabilité des copies et la possibilité de restauration hors ligne. Préparez un plan de reprise chiffré et documenté. Deadline : dans les 72 heures.²
- Préparez la cellule de crise: procédures d'isolement, playbooks de collecte de preuves (journaux, images mémoire), communication interne et externe, et notification aux autorités compétentes selon les obligations réglementaires.
Mesures techniques détaillées (exemples pratiques)
- Bloquez les URL et domaines connus servant aux installations ClickOnce sur les proxys et filtrages web. Appliquez des règles de blocage basées sur le type de contenu et l'empreinte des installateurs.
- Mettez en place AppLocker ou Windows Defender Application Control pour autoriser uniquement les exécutables et scripts signés et connus.
- Auditez les comptes ayant des droits de modification des GPO et des comptes de service. Révoquez les tokens non nécessaires et réduisez la fenêtre d'exposition des comptes avec droits élevés.
- Activez la journalisation avancée sur Active Directory et collectez les logs vers un SIEM avec règles d'alerte sur les tentatives de mouvement latéral et d'exfiltration.
Ces recommandations s'alignent sur les pratiques de mitigation publiées par les autorités et les centres d'urgence cyber nationale et international² ³.
Conséquences potentielles en cas d'inaction
- Interruption prolongée des services critiques et impact opérationnel majeur.
- Exfiltration de données sensibles entraînant des risques juridiques et réglementaires, y compris des sanctions selon la nature des données compromises².
- Coûts directs et indirects élevés liés à la remédiation, aux pertes d'exploitation et à la gestion de crise; les montants rapportés par des incidents majeurs se chiffrent souvent de plusieurs centaines de milliers à plusieurs millions d'euros².
Ne pas agir rapidement augmente fortement le risque de compromission profonde et de perte irréversible de données ou de capacités opérationnelles.
Que faire après une détection?
- Isoler immédiatement les systèmes affectés et couper les accès distants non essentiels.
- Collectionner les preuves numériques: logs endpoints, images mémoire, captures réseau; conservez-les en lecture seule.
- Activer la cellule de gestion de crise et coordonner avec les équipes juridiques pour les obligations de notification.
- Restaurer les services depuis des sauvegardes vérifiées et immuables, après avoir nettoyé l'infrastructure et sécurisé les vecteurs d'accès.
Selon les guides de bonnes pratiques, ces étapes doivent être menées de façon coordonnée pour limiter l'impact et permettre une reprise rapide² ³.
Observations finales
Velvet Tempest exploite une chaîne simple mais efficace: ingénierie sociale, abus de mécanismes d'installation et exploitation des droits excessifs. La fenêtre de prévention est étroite, et la priorité doit être donnée aux contrôles qui ferment le vecteur initial et limitent la capacité de l'attaquant à persister et se propager. Les recommandations ci-dessus s'appuient sur alertes publiques et guides de mitigation reconnus¹ ² ³.
