En Suède, ce lundi, la plupart des supermarchés Coop restent fermés. Coop Suède fait partie de ces nombreuses entreprises indirectement touchées il y a 3 jours par la cyberattaque massive contre la société américaine Kaseya. Un message publié sur le dark web met sur la piste d’un groupe de pirates informatiques. Le groupe REvil aurait demandé une grosse rançon.
Le groupe de pirates REvil (alias Sodinokibi) a réclamé 70 millions de dollars en bitcoins, soit 59 millions d’euros, pour restituer les données. Une information partiellement confirmée par Kaseya. L’un de ses responsables a assuré être au courant de la requête sans donner plus de précisions.
Les hackers promettent en échange de diffuser « publiquement un décrypteur » valable pour les « fichiers de toutes les victimes, afin que tout le monde puisse se remettre de l’attaque en moins d’une heure » après paiement de la rançon (attaque dite au rançongiciel ou « ransomware »).
Kaseya, point d’entrée de la cyberattaque ?
Basée à Miami, Kaseya vend des outils informatiques aux entreprises, notamment le logiciel destiné à gérer des réseaux de serveurs, ordinateurs et imprimantes depuis une seule source. Elle revendique plus de 40 000 clients dans plus de 20 pays dans le monde. Le nombre précis de ces victimes n’a pas été dévoilé. Kaseya assurait vendredi que moins de 40 de ses clients avaient été touchés. Mais ces derniers fournissent eux-mêmes des services à d’autres sociétés. L’effet de l’attaque a donc été démultiplié : plus de 1 000 entreprises pourraient avoir été affectées selon l’entreprise de sécurité informatique Huntress Labs.
Le FBI a ouvert une enquête et travaille avec l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) et d’autres agences « pour comprendre l’ampleur de la menace ». L’ampleur est telle en tous cas que le FBI a prévenu qu’il ne pourrait pas répondre à toutes les victimes individuellement. Le bureau fédéral d’investigation les encourage malgré tout à faire un signalement.
REvil revendique lui-même un million de postes informatiques compromis dans un billet publié sur le dark web. Il a déjà été cité dans une précédente attaque informatique. La filliale américaine du brésilien JBS avait payé la rançon de 11 millions de dollars réclamée le mois dernier.
Le rançongiciel, l’arme préférée des cyberpirates
Ce type d’extorsion consiste à garder en otage les données d’une seule entreprise pour en paralyser des milliers d’autres à travers le monde. Ce modèle d’attaque qui se nomme aussi la double extorsion est devenue l’arme préférée des cyberpirates, explique Damien Bancal, journaliste expert en cybercriminalité et auteur du site web Zataz.