Rançongiciels : L’histoire une entreprise qui refuse de payer la rançon des cybercriminels
Comme nous le savons déjà, les entreprises sont soumises à une grosse pression de la part des cybercriminels.
Notamment à cause des logiciels de rançon qui circulent trop ces temps-ci. À tout moment une organisation privée peut être victime d’une attaque aura son logiciel. C’est d’ailleurs c’est qui est arrivé à une entreprise basée en Australie du nom de Langs Building Supplies. Cependant l’histoire de cette entreprise australienne est totalement différente.
Cet article va aussi vous intéresser : Rançongiciels : pourquoi les forces de l’ordre ont toujours du mal à mesurer l’ampleur du phénomène
Le fait débute à partir du 20 mai 2021, lorsqu’il est sur le point de partir en vacances, le directeur des systèmes d’information Matthew Day, observe qu’une situation peu évidente vient de se produire.
« J’allais partir en vacances. Mais j’ai reçu un coup de fil à quatre heures du matin, me disant en gros : Je ne peux pas me connecter, que se passe-t-il ? », raconte ce dernier. Ce dernier décide alors de se rendre à son bureau situé à Brisbane. Précisément au siège de l’entreprise qui s’est spécialisée dans la fourniture de matériaux de construction. Sur le trajet ce dernier a plutôt cru à une panne ou une défaillance imprévue. Malheureusement pour lui les choses étaient pire. Ils vont apparaître sur les écrans des ordinateurs de son entreprise l’expression suivante. : « Vous avez été piraté. ». Son entreprise est victime d’une attaque au rançongiciel. Le programme de rançon utilisé ici est Lorenz. Il a chiffré l’accès à plusieurs serveurs et à des milliers de fichiers.
Les cybercriminels exigent alors le paiement d’une rançon de 15 million de dollars en bitcoin. Et ce n’est pas tout, ces derniers menacent de publier les informations confidentielles si l’entreprise n’est cédée pas au paiement de la rançon.
« En réalité, c’est une proposition plutôt effrayante, mais nous avons rapidement pu isoler l’attaque et la déconnecter du réseau », note Matthew Day.
Selon le DSI, cette attaque au rançongiciel s’inscrit certainement dans un objectif beaucoup plus détendu que de l’argent. Il croit que les pirates informatiques on a gym ici à cause du secteur d’activité de l’entreprise. En effet, à la période où l’attaque a été observé, l’Australie était sous confinement. Le gouvernement mettait tout en place pour que certains secteurs tels que la construction et le commerce puissent continuer à fonctionner correctement. Par conséquent, si une entreprise tel que Langs se trouve être dans l’incapacité de fonctionner correctement, c’est toute l’industrie de la région qui serait de près ou de loin affectée.
« C’est un événement de grande ampleur qui ne se limite pas à Langs, car si nous ne pouvons pas fournir les marchandises à un constructeur parce que nous sommes hors ligne, il ne peut pas construire cette maison. Cela ne fait qu’accentuer la pression », Souligne Matthew Day.
Malgré cela l’entreprise n’envisage pas de payer la rançon. Tout d’abord parce qu’elle dispose de plusieurs logiciels qui leurs permettaient de récupérer certaines données mais aussi d’analyser les informations qui ont été chiffrées au modifier sur le réseau en se référant au domicile déjà stockées, en dehors même du réseau principal. Tout ceci était possible en seulement quelques heures.
« J’étais assez confiant quant à l’aspect des données – nous utilisons Rubrik. Nous nous assurons qu’il y a une authentification multifactorielle et qu’il n’y a pas d’informations d’identification partagées, c’est un jardin clos », rapport Matthew Day. « Ces personnes veulent immédiatement s’en prendre à vos sauvegardes car cela fait monter la pression, donc s’ils ne peuvent pas accéder à vos sauvegardes, vous êtes dans une bonne position. », ajoute ce dernier.
Malgré cela les cybercriminels ont quand même essayé d’extorquer de l’argent à l’entreprise. Pour cela ils ont envoyé des mails à l’ensemble du personnel en leur mentionnant qu’ils possédaient leurs informations personnelles et sensibles, et qu’ils n’hésiteraient pas à les vendre sur le Dark web si l’entreprise où les employés ne cédaient pas au paiement des rançons exigées.
« Bien que 13 gigaoctets de données aient quitté le réseau, il s’est avéré qu’il s’agissait de trafic ping, donc rien qui puisse représenter un risque pour la sécurité ou la confidentialité des clients ou des employés de Langs. La réception des e-mails a été un choc pour le personnel », a expliqué Matthew Day. « Il faut communiquer avec les gens, leur expliquer. Nous avons pu montrer à l’entreprise qu’ils [les cybercriminels] jouent au chat et à la souris et que nous n’allons pas céder les premiers. Nous n’avons donc pas payé la rançon, le jour venu – et rien ne s’est passé », ajoute ce dernier.
Comment les cybercriminels ont réussi donc à accéder à leur système informatique ? Grâce à un fournisseur qui avait déjà été compromis. Grâce à leur entrée chez le fournisseur de la société australienne, ils ont pu alors envoyer un courriel corrompu à cette dernière. « Ils ont répondu à une commande que nous leur avions envoyée de la manière exactement correcte, c’était un jeu vraiment intelligent pour ces gars-là. L’e-mail provenait d’un compte vérifié, d’une personne à un moment donné et d’une manière attendue par l’utilisateur, mon employé, avec le formatage correct et le numéro valide correct, de sorte qu’il ne s’agissait pas d’un faux compte, ni d’un compte usurpé, mais d’un vrai compte », explique le Matthew Day. « J’aurais dû rester plus fermement sur mes positions concernant l’accès externe et l’authentification à plusieurs facteurs. Nous en parlons depuis un certain temps et je faisais pression en ce sens, mais l’entreprise s’y opposait parce qu’elle considérait que c’était un fardeau supplémentaire pour les utilisateurs, une chose de plus qu’ils devaient apprendre et gérer », note le DSI. « Si j’avais eu l’authentification multifactorielle, nous aurions pu stopper cette attaque particulière dans son élan et je suis heureux de dire que nous pouvons maintenant avoir ce protocole d’authentification sur ces postes de travail externes. ».
Accédez maintenant à un nombre illimité de mot de passe :