Sécurité informatique

Recrudescence d'attaques informatiques sur des serveurs d'entreprises

Publié le LUNDI 03 FÉVRIER 2020

Recrudescence d'attaques informatiques sur des serveurs d'entreprises - CCI de Lyon

Dernièrement, de nombreuses entreprises et institutions territoriales rhônalpines ont été victimes d’une attaque par ransomware (logiciel rançonneur) de type « SODINOKIBI».

Ce ransomware est une variante issue de la famille « GRANDCRAB ».
Si ce phénomène n’a rien d’inédit, le mode d’attaque quant à lui doit inquiéter. Jusqu’à présent ce type d’atteinte était essentiellement le fruit de campagnes de mails avec liens ou pièces jointes infectées. Dans le cas présent, il est établi que les serveurs des entités touchées ont été directement ciblés. L’attaquant est parvenu à s’y introduire après avoir scanné les ports ouverts. Une fois la faille décelée (port ouvert + faille du logiciel de supervision KASEYA), il a pu procéder au chiffrement des données.

L’intervention rapide des informaticiens a toutefois permis de limiter les dégâts mais certaines sociétés ayant leurs sauvegardes non externalisées (et qui ont été chiffrées lors de l’attaque) ont vu leurs activités fortement impactées.

A l’instar des attaques classiques, le ransomware a introduit dans le système un fichier contenant les instructions pour un paiement en bitcoins, monnaie virtuelle intraçable. En vue d’obtenir la clé de déchiffrement, les victimes doivent débourser
des sommes comprises entre 640 000 et 700 000 dollars américains.

Seule une sauvegarde externalisée quotidienne et viable permet de surmonter sereinement ce genre d'attaque.

A savoir : 

- 69 incidents relatifs à des attaques par rançongiciels ont été traités par l’ANSSI en 2019, en particulier les compromissions des sociétés ALTRAN en janvier 2019 , Fleury Michon en avril 2019 , Ramsay Générale de Santé en août 2019, ou encore du CHU de Rouen en Novembre 2019 .

- Depuis fin 2019, certains groupes d’attaquants s’emploient à exfiltrer de grandes quantités de données présentes sur le système d’information compromis avant d’action de chiffrement. Ils se servent ensuite de la divulgation de ces données afin d’exercer une pression supplémentaire sur les victimes afin de les inciter à payer la rançon. Des victimes des rançongiciels Maze et Sodinokibi ont vu certaines de leurs données divulguées dans ce cadre.

En janvier 2019, un groupe cybercriminel utilisant Sodinokibi a divulgué des documents présentés comme issus d’un système d’information compromis de l’entreprise américaine Artech Information Systems. Selon les attaquants, cette divulgation a été effectué suite au refus de l’entreprise à payer la rançon demandée.

- Des rançongiciels ciblent des entreprises sous-traitantes ou clés d’un secteur d’activité, pourraient amener un jour à déstabiliser plusieurs grands groupes (supply chain attack) ou un pan d’activité économique entier (rupture dans l’approvisionnement de matière première par exemple).

- NotPetya et GermanWiper sont deux exemples de codes se faisant passer pour des rançongiciels, mais ayant uniquement une finalité de sabotage.

Sources - Plus d'information : 

pdf-rouge Message d'attention de la Sécurité économique territoriale Auvergne-Rhone-Alpes : Attaque ransomware sur serveur (comment s'en prémunir, conseils sur ce qu'il faut faire en cas d'attaques)

pdf-rouge Etat de la menace rançongiciel à l'encontre des entreprises et institutions - ANSSI (janvier 2020)