Parmi les organisations de premier plan qui ont été victimes d’attaques par ransomware au cours de la semaine du 7 au 11 décembre 2020 figurent le géant de l’électronique Foxconn et le spécialiste du recrutement Randstad, car les bandes criminelles à l’origine des ransomwares ne montrent aucun signe de relâchement.
L’usine mexicaine de fabrication de puces de Foxconn, qui avait été initialement attaquée pendant le week-end de Thanksgiving, fin novembre, par le gang DoppelPaymer et avait été fermée en conséquence, reprend maintenant ses activités habituelles après l’attaque de ses systèmes, au cours de laquelle des fichiers volés ont été publiés sur le site de fuite de DoppelPaymer – pour la plupart des documents internes inoffensifs, selon les rapports. Les cybercriminels à l’origine de l’attaque ont exigé une rançon de 34 millions de dollars (27,6 millions d’euros/25,5 millions d’euros).
L’attaque de Foxconn est la deuxième violation majeure d’une usine d’un fabricant d’équipements d’origine (OEM) en autant de mois. Comme le souligne Saryu Nayyar, PDG de Gurucul, cela montre la sophistication croissante de gangs tels que DoppelPaymer, qui agissent de manière de plus en plus effrontée et s’attaquent à des cibles de plus en plus grandes.
« Les organisations doivent améliorer leur jeu si elles veulent éviter de devenir la prochaine brèche digne d’intérêt aux yeux des médias. L’éducation des utilisateurs, l’authentification multifactorielle et un périmètre solide peuvent aider à empêcher les attaquants d’entrer », a déclaré M. Nayyar.
« À l’intérieur, une pile de sécurité robuste avec des analyses de sécurité peut aider à identifier une brèche et à l’atténuer avant que les attaquants ne volent des données ou ne cryptent des systèmes. Nous ne pouvons qu’espérer que la communauté internationale des forces de l’ordre sera à la hauteur et fera sa part, car ces cybercriminels ne montrent aucun signe d’arrêt par eux-mêmes. »
Lors de l’analyse de l’attaque, le vice-président de la stratégie de Point3 Security, Chlo ? Messdaghi a déclaré qu’il était probable que les attaquants de Foxconn se soient introduits dans les systèmes opérationnels de l’entreprise, et que l’affaire mettait en évidence l’absence de pratiques de confiance zéro et de mauvaises politiques de sauvegarde des données.
» Le meilleur moyen d’éviter les ravages que peuvent causer les ransomwares est d’avoir un plan de travail en place… revisitez et mettez à jour ce livre de jeu au moins tous les trimestres – vos outils sont-ils les mêmes ? Votre personnel est-il le même ? Les flux de données et les exigences réglementaires sont-ils les mêmes ? Un plan d’action qui date de plus de 60 jours est forcément un peu moisi. Avec la récente vague d’attaques, de plus en plus d’entreprises adoptent l’approche du trou d’air.
« Dans le cas de Foxconn, il se pourrait bien qu’elle doive payer la rançon, car l’arrêt de la production est le rêve de tout attaquant. Sur 172 milliards de dollars de revenus, ils en retireront 34 millions – un montant énorme, mais si la production est touchée, cela pourrait être leur seule option », a déclaré M. Messdaghi.
Ilia Kolochenko, d’Immuniweb, a déclaré que les rumeurs selon lesquelles le gang DoppelPaymer a compromis plus de 1 000 serveurs de Foxconn et supprimé toutes les sauvegardes étaient, si elles étaient vraies, un « indicateur sans équivoque de négligence grave » de la part de la victime.
« [Il est] peu probable qu’une assurance de cybersécurité verse un centime pour les dommages dans ces circonstances, alors que la victime aura probablement une réclamation solide contre les fournisseurs d’informatique et de sécurité en charge de la gestion de son réseau », a déclaré Kolochenko.
À l’instar de Foxconn, Randstad a été victime d’une double extorsion. L’entreprise basée aux Pays-Bas a été compromise par le ransomware relativement nouveau Egregor, mais elle a déclaré que seul un nombre limité de ses serveurs avait été touché et que ses activités n’avaient pas été interrompues. Il est intéressant de noter que l’entreprise n’a pas reçu de demande de rançon.
« À ce jour, notre enquête a révélé que le groupe Egregor a obtenu un accès non autorisé et illégal à notre environnement informatique mondial et à certaines données, en particulier liées à nos opérations aux États-Unis, en Pologne, en Italie et en France », a déclaré l’entreprise dans un communiqué.
« Ils ont maintenant publié ce qui est prétendu être un sous-ensemble de ces données. L’enquête est en cours pour identifier quelles données ont été consultées, y compris les données personnelles, afin que nous puissions prendre les mesures appropriées en ce qui concerne l’identification et la notification des parties concernées. »
M. Messdaghi, de Point3, a déclaré que, contrairement à Foxconn, Randstad avait fait preuve d’une excellente préparation, en veillant à ce que ses données soient en sécurité en cas d’attaque par un ransomware.
« Nous nous référons à l’approche 3-2-1 : trois copies de données stockées sur deux supports et un fournisseur de stockage en nuage, de sorte que vous pouvez récupérer à partir de n’importe lequel de ces trois endroits. La seule façon d’éviter les ransomwares sur les systèmes de sauvegarde est de mettre en place un plan, de le revoir régulièrement et de sauvegarder très souvent. Et il y a de fortes chances que ce soit exactement le type de plan que Randstad avait mis en place », a-t-elle ajouté.
M. Messdaghi a également félicité Randstad de ne pas avoir utilisé le terme « hacker » pour désigner le gang Egregor, reconnaissant ainsi la différence entre les cybercriminels malveillants et la communauté des hackers.
Parmi les autres attaques notables de ransomware de la semaine dernière, citons les attaques contre le détaillant nord-américain Kmart et le réseau de transport public de Vancouver, TransLink, qui sont toutes deux l’œuvre d’Egregor.
Leave a Reply