Les ransomwares sont devenus la plus grande cybermenace de la technologie mondiale. Le dernier connu est Gigabyte Technology, un fabricant de matériel basé à Taïwan que vous connaissez peut-être pour ses cartes mères, cartes graphiques, ordinateurs portables ou moniteurs.
L’attaque de ransomware contre Gigabyte a été confirmée à médias chinois. Il a affecté une partie de ses serveurs et déclenché le système de défense de la sécurité de l’information en coopération avec des experts techniques d’entreprises externes et en contact avec des agences gouvernementales. L’attaque s’est produite la semaine dernière et actuellement, tous les services internes concernés ont repris leurs activités. La production, les ventes et les opérations quotidiennes n’ont pas été affectées, selon la société.
Bien qu’aucune information officielle n’ait été rendue disponible sur le type de cyberattaque, Bleeping Computer dit que cela s’est produit mardi dernier et a affecté plusieurs de ses services, y compris le support utilisateur et d’autres en devant fermer certains systèmes pour le contrôler.
Les médias disent que RansomEXX est derrière l’attaque. Connu à l’origine sous le nom de « Defray », il s’agit d’un groupe bien connu dans les environnements de sécurité informatique pour introduire des ransomwares via des vulnérabilités dans les protocoles de bureau à distance, des exploits ou des informations d’identification volées.
Le groupe agit à la manière d’un ransomware typique. Il infiltre les serveurs, détourne des fichiers à l’aide d’un cryptage fort pour empêcher l’accès de son propriétaire et exige une « rançon » pour les libérer. Une fois qu’ils ont accédé au réseau, ils collectent plus d’informations d’identification à mesure qu’ils gagnent de l’espace sur le contrôleur de domaine Windows. Au cours de cette propagation latérale à travers le réseau, le gang volera les données des appareils non cryptés utilisés comme levier dans l’extorsion.
Dans ce cas, les cybercriminels affirment être en possession de 112 Go de données volées sur des serveurs. Et cela pourrait ne pas seulement affecter Gigabyte, car il est question de documents confidentiels d’Intel, d’AMD et d’American Megatrends. Dans un monde aussi connecté où les entreprises doivent collaborer entre elles, les victimes indirectes sont également fréquentes dans ce type d’attaque. Dans l’incident de Quanta Computer, les attaquants ont affirmé avoir obtenu des plans des équipements Apple et Lenovo.
L’attaque de ransomware contre Gigabyte fait partie des dizaines de grandes entreprises touchées. Et ce ne sont que les plus connus car il y en a beaucoup d’autres qui ne parviennent pas au grand public. Les fabricants asiatiques sont à l’honneur. En plus du grave incident avec Quanta, à la fin de l’année dernière, le fabricant d’ordinateurs portables Compal, le fabricant d’ordinateurs industriels Advantech et plus tard le conglomérat géant Hon Hai et le fabricant de PC Acer ont été attaqués. Selon les recherches du fournisseur de sécurité Internet Check Point, Taïwan enregistre en moyenne plus de 2 500 cyberattaques par semaine.
Et pas seulement l’Asie. Une attaque de ransomware contre la société Kaseya le mois dernier a paralysé les réseaux d’au moins 200 sociétés américaines et autres (il y en a potentiellement 1 000 affectées) à l’échelle internationale. Le groupe russe REvil est à l’origine d’une attaque que les entreprises de cybersécurité ont qualifiée de « colossale » et un autre signe du danger des ransomwares.
