Operation 999: Ransomware tabletop scenario at InfoSecurity Europe, June 2025

Opération 999: Ransomware Tabletop Tests Cyber ​​Execs’s Response

Lucas Morel

Le CSO a participé en tant que conseiller média dans un exercice de table qui a mis les CISO et les hauts dirigeants de la sécurité les uns contre les autres dans un scénario de ransomware d’équipe rouge contre l’équipe bleue impliquant un service public d’eau.

Les exercices de table de ransomware confrontent les participants à un scénario d’attaque, leur offrant un moyen de tester et d’améliorer les capacités de préparation et de réponse de leur organisation.

Chaque équipe était composée de sept participants du secteur public et privé, y compris d’anciens pirates et des cadres d’intervention en cas d’incident.

L’équipe bleue était dirigée par Steve Hill, ancien groupe CISO de Credit Suisse, et comprenait Ritesh Patel, directeur de la sécurité chez BP, et Craig Edwards, CISO à la gestion des risques de conseil en gestion des partenaires.

Scénario de table: Utilitaire d’eau sous attaque de ransomware

L’exercice s’est concentré sur une attaque de ransomwares qui visait à perturber la capacité de fictives du UK Water Utility à servir à un million de clients dans la mesure où il n’aurait d’autre choix que de payer une rançon.

La simulation de l’attaque hypothétique contre le «traitement de l’eau de Springfieldshire» a consisté en quatre phases de jeu. Chaque tour implique un cycle d’attaque-réponse avec Yossi Rachman, directeur de la recherche en sécurité de Semperis, agissant en tant que maître de jeu.

Dans la première phase de l’exercice, l’équipe rouge a été invitée à cibler les systèmes de contrôle industriel dépassés par SCADA de l’usine. Les attaquants ont appris que les systèmes de technologie opérationnelle étaient intégrés au système informatique, une pratique de plus en plus répandue aujourd’hui. Une nouvelle collecte de renseignements, y compris les renseignements open-source, leur a permis de déterminer que l’ingénieur en chef de l’usine fêtait son anniversaire le jour où ils ont lancé leur attaque, chronométré pour frapper le 24 décembre pour une perturbation maximale à un moment où de nombreux membres du personnel seraient en congé annuel.

La surveillance de la sécurité a détecté l’activité de suspicion, certains points de terminaison montrant des signes de cryptage auprès de l’utilité fictive. Une anomalie a été détectée sur l’ordinateur de l’ingénieur en chef, ce qui a incité l’équipe bleue à lancer une enquête.

Dans la phase suivante de l’exercice, l’équipe rouge a été informée qu’elle avait pris le contrôle du système SCADA et avait présenté des options pour augmenter l’attaque.

L’équipe rouge a poursuivi le chiffrement des données malveillantes. Ils sont passés à des systèmes informatiques sensibles, dégénérant leurs privilèges en cours de route, avant d’extraire des données et des e-mails sensibles sensibles. L’équipe d’attaque a décidé de ne pas effectuer de perturbation opérationnelle car elle n’avait aucune envie d’être considérée ou traitée comme des terroristes – ils étaient strictement dans l’argent, à l’avenir avec tente d’exporter le traitement de l’eau de Springfieldshire jusqu’à 20 millions de livres sterling.

Pendant ce temps, dans l’équipe bleue, la réponse aux incidents a commencé alors que les défenseurs ont élaboré un plan tentant de contenir l’attaque et de restaurer les systèmes touchés.

Au cours de cette phase de l’exercice, l’équipe bleue reçoit un appel de son service juridique lui conseillant d’informer le National Cyber ​​Security Center et les régulateurs du Royaume-Uni sur l’attaque, avertissant que les échecs pourraient entraîner des amendes ou des problèmes de responsabilité. Informer les partenaires et faire appel à l’expertise des spécialistes de la réponse aux incidents externes devient un objectif majeur pour les défenseurs à ce stade du jeu.

Les tentatives d’extorsion sont reproduites

Au fil de l’exercice, l’équipe bleue refuse de payer une rançon après avoir consulté les autorités, les équipes juridiques et les experts en gestion de crise. Au lieu d’augmenter la mise en menaçant de saboter les algorithmes de traitement de l’eau ou les pompes chimiques, potentiellement entacher l’offre, les attaquants décident de divulguer les dossiers des clients en ligne jusqu’à ce que la rançon soit payée.

La nouvelle de l’attaque des ransomwares fuit sur les réseaux sociaux, ainsi que certaines données des employés et des clients. Les médias ramassent l’histoire, provoquant une panique généralisée alimentée par des «experts» autoproclamés.

En réponse, le chef du conseil du Springfieldshire tient une conférence de presse exigeant des mesures et menaçant de lancer une enquête. L’équipe bleue décide de réagir en utilisant les plateformes de médias sociaux et les médias pour publier des déclarations rassurant le public que, bien que l’entreprise de traitement de l’eau soit sous cyberattaque, leur approvisionnement en eau reste sûr.

Le stade final de l’exercice a considéré la résolution et l’atténuation future. L’équipe bleue a tenté de développer un plan pour s’assurer que le confinement a été à la fois réussi et complet ainsi que les étapes pour assurer une résilience à long terme contre des attaques similaires.

Bien que leur demande de ransomware ait été refusée, l’équipe rouge a toujours en train de profiter de leur attaque en interrompant les actions entreprenantes du traitement de l’eau de Springfieldshire coloré avant l’attaque. Dans le scénario, le traitement de l’eau de Springfieldshire est la cible d’une offre de rachat d’un service public rival.

Jeux de guerre

L’exercice «Operation 999» a offert une simulation de table de cybersécurité conçue pour permettre aux participants d’exercer des stratégies de réponse aux incidents. L’exercice de table a offert une expérience immersive sans présenter de clavier pratique ou d’analyse des données techniques (telles que des fichiers journaux spécifiques à l’exercice, ou similaires).

Le scénario a été conçu pour affiner la préparation des cyber-incidents, grâce à un mécanisme similaire à la façon dont les jeux de guerre entraînent les forces militaires en temps de paix.

Tous les impliqués dans l’exercice de deux heures étaient (ou du moins apparus) très engagés. Une grande partie de la discussion sur l’équipe bleue impliquait d’identifier les actifs critiques pour maintenir l’utilité opérationnelle et offrir un service minimal viable et la liaison avec les parties prenantes.

S’exprimant après l’exercice, Rachman de Semperis a reconnu que bien qu’un exercice d’entraînement ne puisse pas se préparer pleinement au chaos d’une véritable attaque, cela permet aux défenseurs d’élaborer de meilleurs plans de réponse aux incidents.

« Les deux équipes ont fait brillamment et étaient assez créatives », a déclaré Rachman. « Cependant, je pense que l’hypothèse de l’équipe bleue qui entre en contact avec toutes leurs parties prenantes lorsque l’attaque a frappé – la veille de Noël – a été assez optimiste. »

Le scénario présenté dans l’exercice, bien que fictif, est loin d’être invraisemblable.

En octobre 2024, American Water, le plus grand utilitaire américain de l’eau et des eaux usées, a détecté l’activité non autorisée dans son réseau informatique, perturbant le service client et la facturation. Au Royaume-Uni, Southern Water a subi une violation de données initiée par le groupe de pirates Black Basta, qui a eu accès à l’infrastructure de serveur de la société et a compromis une quantité importante de données personnelles.

Une enquête commandée par Semperis de 350 fournisseurs de services publics au Royaume-Uni et aux États-Unis a révélé que 62% étaient ciblés au cours de la dernière année, avec 54% des dommages permanents du système.

La grande majorité (90%) des organisations ont activé les plans de cyber-crise l’année dernière, mais la plupart ont subi une perturbation répétée en raison de livres de jeu obsolètes, de silos croisés et d’étalement d’outils.

Au cours d’une présentation principale sur l’histoire des ransomwares chez InfoSecurity Europe, Mikko Hypponen, chef de la recherche chez Withsecure, les attaquants de ransomware charterisés comme implacables, faisant valoir que la menace qu’ils constituent présente un risque plus difficile que le feu, les accidents ou les catastrophes naturelles.

« Personne n’essaie de brûler votre usine tous les jours, chaque semaine, encore et encore jusqu’à ce qu’ils réussissent », a déclaré Hypponen. « Cependant, ces gars-là essaient de pénétrer dans votre réseau tous les jours, chaque semaine, encore et encore et encore et, s’ils réussissent, ils fermeront votre entreprise aussi bien qu’un incendie ou un inondation. »

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Hacker in a dark hoody sitting in front of a notebook with digital north korean flag and binary streams background cybersecurity concept
Des pirates nord-coréens exploitent les outils de sécurité de Google pour effacer à distance
La Commission européenne DSGVO pour KI et Cookie-Tracking Lockern
La Commission européenne DSGVO pour KI et Cookie-Tracking Lockern
Qu’est-ce que Discord et est-ce dangereux ? | Chouette noire
Qu’est-ce que Discord et est-ce dangereux ? | Chouette noire