Une attaque par ransomware massive pourrait impacter des milliers d'entreprises à travers le monde. Une enseigne de supermarché suédoise a carrément été contrainte de fermer ses 800 boutiques ce week-end. L’attaque pourrait provenir d’un groupe de hackers russes déjà connu.
au sommaire
Après l'affaire dite Solarwinds qui avait fait trembler les administrations américaines et de très grosses entreprises sur la Planète dont MicrosoftMicrosoft, c'est une cyberattaque qui pourrait impacter des milliers de petites sociétés qui a eu lieu ce week-end. Elle a déjà entraîné la fermeture de 800 supermarchés en Suède. Tout provient de l'attaque de l'entreprise américaine Kaseya. Éditeur de logiciels de gestion de réseau, la firme a été la cible principale des pirates et c'est via ses serveurs qu'ils ont pu implanterimplanter un ransomwareransomware chez de très nombreux clients de la société.
La charge viralecharge virale était simplement placée dans une mise à jour du logiciel VAS de l'éditeur et a encore la capacité d'impacter les 40.000 clients de Kaseya. La firme a donc demandé à ses clients de désactiver VAS, mais le ransomware a quand même contaminé immédiatement une quarantaine de clients dont l'enseigne suédoise de supermarchés Coop dont les caisses étaient paralysées. Pour le moment, une douzaine de pays différents auraient déjà été touchés, selon un rapport publié par le spécialiste de la sécurité Eset. Environ 1.000 entreprises exploitant directement VAS risquent également d'être victimes de l'attaque dans les prochains jours, mais les dommages collatéraux pourraient être bien plus importants et concerner des milliers de petites structures parmi lesquelles des écoles, de petits organismes du secteur public, des agences de voyages et de loisirs, des coopératives de crédit et des comptablescomptables...
L’ombre des hackers russes
Il s'agit d'une attaque par ransomware aussi importante, voire plus que la fameuse WannaCry de 2017. Pour le moment, les pirates réclament un total cumulé de rançons de 70 millions de dollars pour déchiffrer les données des entreprises. Si elles ne règlent pas leur rançon, ils menacent de publier leurs données sur la place publique.
Selon plusieurs experts, c'est encore vers la Russie que les regards se tournent pour l'attribution de cette attaque. Les pirates soupçonnés d'être à l'origine de l'attaque réclament 70 millions de dollars pour restaurer les données qu'ils détiennent en rançon. Et les demandes ont été publiées sur un blog généralement utilisé par un groupe de pirates appelé REvil ou Sodinokibi. Un groupe lié à la Russie apparu en 2019 et qui est l'un des plus prolifiques en matièrematière de ransomwares.
Il a dernièrement rançonné à hauteur de 11 millions de dollars l'entreprise brésilienne d'emballage de viande JBS qui a pu récupérer ses données après avoir payé. Du côté des autorités américaines, on cherche encore à vérifier si la patte du Kremlin pourrait avoir soutenu l'attaque, même si cela semble peu crédible. Très remonté contre les cyberattaques imprégnées par des groupes de pirates proches des agences de renseignement russes, le président américain Joe Biden ne compte pas en rester là et riposter si, toutefois, des preuves relient le groupe de pirates à l'État russe.
Ce qu’il faut
retenir
- Une cyberattaque massive par ransomware menace des milliers d'entreprises.
- Elles ont été contaminées par une mise à jour d'un logiciel de gestion de réseau informatique de la société Kaseya.
- Il semble que le groupe de pirate russes REvil soit à l'origine de cette attaque.