Un groupe de pirates mystérieux et non identifié a cherché à paralyser les réseaux informatiques de près de 5 000 victimes à travers les États-Unis et l’Europe, dans l’une des attaques de ransomware les plus répandues jamais enregistrées.
L’unité de piratage, initialement surnommée le groupe Nevada par les chercheurs en sécurité, a lancé une série d’attaques qui a commencé il y a environ trois semaines en exploitant une vulnérabilité facilement corrigée dans un morceau de code omniprésent dans les serveurs cloud.
Le Financial Times a contacté plusieurs victimes identifiées à partir des informations accessibles au public. La plupart ont refusé de commenter, affirmant que les forces de l’ordre leur avaient demandé de le faire. Ils comprennent des universités aux États-Unis et en Hongrie, des groupes de transport et de construction en Italie et des fabricants en Allemagne.
Les autorités n’ont pas encore identifié les auteurs, ne devinant que d’après leurs annonces de recrutement sur le Web qu’il s’agit d’un mélange de pirates russes et chinois.
Les pirates ont exigé une rançon étonnamment faible pour libérer leur emprise sur les réseaux informatiques – aussi peu que deux bitcoins (environ 50 000 $) dans certains cas, selon des copies de leurs notes de ransomware qui ont été brièvement visibles. En revanche, un gang rival a exigé 80 millions de dollars de la Royal Mail britannique lors d’une autre attaque récente et très médiatisée.
Cette facilité avec laquelle ce nouveau groupe s’est répandu sur de vastes pans de l’infrastructure Internet occidentale souligne la nature d’une grande partie des rançongiciels qui menacent les entreprises du monde entier. La plupart des attaques sont relativement simples, rapportent de petites sommes et passent souvent inaperçues.
Dans une scène qui met en scène des gangs de rançongiciels rivaux et souvent en conflit, ce nouveau venu inconnu est « une nouvelle menace solide dans notre paysage dans un avenir proche », a déclaré Shmuel Gihon, du groupe de cybersécurité israélien CyberInt.
Il a averti que la simplicité et l’ampleur de l’attaque pourraient engendrer des imitateurs. « L’ampleur de cette campagne est l’une des plus importantes que nous ayons vues (et puisqu’elle est en cours), le vrai problème est que les groupes de vétérans voient les dommages potentiels qu’ils peuvent causer. »
La campagne de ransomware est maintenant appelée ESXiArgs, après la faille qu’elle exploite – bien qu’il y ait une certaine confusion quant à savoir si elle et le Nevada Group sont identiques ou se copient.
En février 2021, le groupe américain de logiciels cloud VMware a découvert une vulnérabilité qui permettrait aux pirates d’accéder aux réseaux informatiques exécutant son logiciel et a publié un correctif qui résoudrait le problème.
Deux ans plus tard, les pirates ESXiArgs ont trouvé un moyen d’analyser Internet pour trouver des clients VMware qui, par incompétence, paresse ou simple ignorance, n’avaient pas encore corrigé leurs réseaux et ont pris le contrôle de milliers d’entre eux.
VMware a refusé de commenter autre que d’envoyer par e-mail des liens vers un Blog offrant des conseils techniques.
Le plus grand nombre de victimes est regroupé en France – avec 2 000 personnes connues pour avoir été ciblées dans ce seul pays. Il s’agit principalement de réseaux hébergés sur le service le moins cher vendu par le plus grand fournisseur de cloud européen, OVHcloud, et accessibles via le produit VMware. OVHcloud a déclaré fournir un support technique à ses clients et coopérer avec les forces de l’ordre.
Chez OVHcloud, les réseaux compromis se trouvaient dans un groupe de clients qui ont loué des « serveurs bare metal » – essentiellement des copies miroir des données que les sociétés utilisent pour conserver sur site, sans aucun service de cybersécurité supplémentaire, ce qui signifie qu’ils devraient être individuellement patché.
« Cela prend au maximum quelques heures pour le faire dans la plupart des contextes, peut-être un week-end pour un réseau compliqué ou ancien », a déclaré un ingénieur informatique qui aidait un groupe français à se rétablir, sous couvert d’anonymat. « Pourquoi cela n’a pas été fait est une devinette facile. »
Beaucoup n’ont pas été corrigés, ce qui les rend vulnérables au malware, selon une personne familière avec les enquêtes chez OVHcloud.
« C’est un serveur très simple. Il y a des décennies, vous en aviez peut-être un dans votre immeuble, puis vous venez de copier ces données dans le cloud, mais vous avez continué à les utiliser de la même manière », a déclaré la personne.
Pour des raisons que les chercheurs ne comprennent toujours pas entièrement, les attaquants ont laissé leurs notes de rançon publiquement visibles – plutôt que cachées à l’intérieur du réseau – avec des portefeuilles bitcoin publiquement traçables.
Cela a permis aux chercheurs de Censys, une entreprise qui aide les autres à réduire leur vulnérabilité au piratage, de suivre 4 468 victimes probables, la France, les États-Unis, le Royaume-Uni et l’Allemagne constituant la grande majorité.
Une semaine après le début des attaques, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié une solution de contournement de fortune relativement simple, qui a permis à certaines victimes de retrouver l’accès à leurs données.
En quelques heures, les attaquants ont modifié leur logiciel malveillant, émoussant complètement la solution et attrapant des centaines d’autres victimes.
« Il a été intéressant de voir les acteurs derrière cela réagir en temps quasi réel aux mesures d’atténuation et aux recherches fournies par la communauté de la sécurité », a déclaré Censys. « Le moment de ces changements témoigne de la capacité de l’acteur. »
La CISA a déclaré qu’elle « travaillait avec nos partenaires des secteurs public et privé pour évaluer les effets de ces incidents signalés et fournir une assistance si nécessaire ».