En mars 2020, KrebsOnSecurity a alerté le géant suédois de la sécurité
Groupe Gunnebo
que des pirates s'étaient introduits dans son réseau et avaient vendu l'accès à un groupe criminel spécialisé dans le déploiement de ransomwares. En août, Gunnebo a déclaré avoir déjoué avec succès une attaque de ransomware, mais cette semaine, il est apparu que les intrus avaient volé et publié en ligne des dizaines de milliers de documents sensibles, notamment des schémas des coffres bancaires des clients et des systèmes de surveillance.
Les
Groupe Gunnebo
est une société multinationale suédoise qui assure la sécurité physique de divers clients dans le monde, notamment des banques, des agences gouvernementales, des aéroports, des casinos, des bijouteries, des agences fiscales et même des centrales nucléaires. L'entreprise est présente dans 25 pays, emploie plus de 4 000 personnes et génère des milliards de chiffre d'affaires par an.
Sur la base d'un conseil de Milwaukee, dans le Wisconsin, une société de cyber-intelligence
Maintenir la sécurité
, KrebsOnSecurity a informé Gunnebo en mars d'une transaction financière entre un pirate informatique malveillant et un groupe de cybercriminels spécialisé dans le déploiement de ransomwares. Cette transaction comprenait des informations d'identification à un
Protocole de bureau à distance
(RDP) apparemment mis en place par un employé du groupe Gunnebo qui souhaitait accéder à distance au réseau interne de l'entreprise.
Cinq mois plus tard, Gunnebo
divulgué
il avait subi une cyberattaque ciblant ses systèmes informatiques qui a forcé l'arrêt des serveurs internes. Néanmoins, la société a déclaré que sa réaction rapide avait empêché les intrus de diffuser le ransomware dans ses systèmes et que l'impact global durable de l'incident était minime.
Plus tôt cette semaine, l'agence de presse suédoise
Dagens Nyheter
confirmé
que les pirates ont récemment publié en ligne au moins 38 000 documents volés sur le réseau de Gunnebo.
Linus Larsson
, le journaliste qui a révélé l'histoire, affirme que le matériel piraté a été téléchargé sur un serveur public au cours de la seconde moitié de septembre, et on ne sait pas combien de personnes ont pu y avoir accès.
citations de Larsson
Le PDG de Gunnebo, Stefan Syren
affirmant que la société n'avait jamais envisagé de payer la rançon demandée par les attaquants en échange de la non-publication de ses documents internes. De plus, Syrén a semblé minimiser la gravité de l'exposition.
"Je comprends que vous puissiez voir les dessins comme sensibles, mais nous ne les considérons pas automatiquement comme sensibles", aurait déclaré le PDG. "En ce qui concerne les caméras dans un environnement public, par exemple, la moitié du point est qu'elles doivent être visibles, donc un dessin avec des emplacements de caméra en soi n'est pas très sensible."
Il reste difficile de savoir si les informations d'identification RDP volées ont été un facteur dans cet incident. Mais le mot de passe du compte Gunnebo RDP - "password01" - suggère que la sécurité de ses systèmes informatiques a peut-être fait défaut dans d'autres domaines également.
Après cet auteur
a posté une demande de contact de Gunnebo sur Twitter
, KrebsOnSecurity a
Rasmus Jansson
, responsable de compte chez Gunnebo, spécialisé dans la protection des systèmes clients contre les attaques ou perturbations par impulsions électromagnétiques (EMP), de brèves rafales d'énergie pouvant endommager les équipements électriques.
Jansson a déclaré avoir transmis les informations d'identification volées aux spécialistes informatiques de l'entreprise, mais qu'il ne savait pas quelles mesures l'entreprise avait prises en réponse. Joint par téléphone aujourd'hui, Jansson a déclaré qu'il avait quitté l'entreprise en août, juste au moment où Gunnebo a révélé l'attaque de ransomware déjouée. Il a refusé de commenter les détails de l'incident d'extorsion.
Les attaquants de ransomware passent souvent des semaines ou des mois à l'intérieur du réseau d'une cible avant de tenter de déployer des logiciels malveillants sur le réseau qui chiffrent les serveurs et les systèmes de bureau à moins et jusqu'à ce qu'une demande de rançon soit satisfaite.
C'est parce que la prise de pied initiale est rarement la partie difficile de l'attaque. En fait, de nombreux groupes de ransomware ont maintenant un tel embarras de richesse à cet égard que
ils ont commencé à embaucher des testeurs d'intrusion externes
pour effectuer le gros travail d'escalade de cette prise initiale en un contrôle complet sur le réseau de la victime et tous les systèmes de sauvegarde de données - un processus qui peut prendre énormément de temps.
Mais avant de lancer leur ransomware, il est devenu courant pour ces extorqueurs de décharger autant de données sensibles et propriétaires que possible. Dans certains cas, cela permet aux intrus d'en tirer profit même si leur logiciel malveillant ne parvient pas à faire son travail. Dans d'autres cas, les victimes sont invitées à payer deux demandes d'extorsion : une pour une clé numérique pour déverrouiller des systèmes cryptés, et une autre en échange d'une promesse de ne pas publier, vendre aux enchères ou échanger de quelque manière que ce soit des données volées.
Bien qu'il puisse sembler ironique qu'une entreprise de sécurité physique finisse par publier tous ses secrets en ligne, la réalité est que certaines des plus grandes cibles des groupes de ransomwares continuent d'être des entreprises qui peuvent ne pas considérer la cybersécurité ou les systèmes d'information comme leur principale préoccupation ou activité. – peu importe à quel point cette technologie peut être utilisée.
En effet, les entreprises qui persistent à considérer la cybersécurité et la sécurité physique comme étant en quelque sorte distinctes semblent être parmi les cibles préférées des acteurs des ransomwares. La semaine dernière, un journaliste russe
publié une vidéo sur Youtube
prétendant être une interview avec les cybercriminels derrière
la souche de ransomware REvil/Sodinokibi
, qui est l'œuvre d'un groupe criminel particulièrement agressif qui est à l'origine de certaines des attaques de rançon les plus importantes et les plus coûteuses de ces dernières années.
Dans la vidéo, le représentant de REvil a déclaré que les cibles les plus souhaitables pour le groupe étaient les entreprises agricoles, les fabricants, les compagnies d'assurance et les cabinets d'avocats. L'acteur de REvil a affirmé qu'en moyenne, environ une victime sur trois accepte de payer des frais d'extorsion.
Mark Arena
, PDG d'une société de renseignement sur les menaces en matière de cybersécurité
Intel 471
, a déclaré qu'il pourrait être tentant de croire que les entreprises spécialisées dans la sécurité de l'information ont généralement de meilleures pratiques de cybersécurité que les entreprises de sécurité physique, mais peu d'organisations ont une compréhension approfondie de leurs adversaires. Intel 471 a publié une analyse de la vidéo
ici
.
Arena a dit que c'est
une lacune particulièrement aiguë chez de nombreux fournisseurs de services gérés
(MSP), des entreprises qui fournissent des services de sécurité externalisés à des centaines ou des milliers de clients qui, autrement, n'auraient peut-être pas les moyens d'embaucher des professionnels de la cybersécurité.
"La dure et malheureuse réalité est que la sécurité d'un certain nombre de sociétés de sécurité est de la merde", a déclaré Arena. « La plupart des entreprises ont tendance à manquer de compréhension continue et à jour des acteurs de la menace auxquels elles sont confrontées. »
