IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Sopra Steria confirme la nouvelle version de Ryuk derrière la cyberattaque sur ses opérations,
Et affirme que pas un seul client n'a été touché par l'attaque au rançongiciel

Le , par Stan Adkens

17PARTAGES

9  0 
Sopra Steria a publié le 21 octobre dernier une déclaration selon laquelle elle avait été victime d'une cyberattaque dans la soirée du 20 octobre, en indiquant que l'équipe de réponse aux incidents travaillait à la restauration complète de son réseau informatique. Dans une mise à jour publiée la semaine dernière, le géant français des services informatiques a formellement confirmé qu'il s'agissait bien du rançongiciel Ryuk et que l'attaque avait été probablement lancée quelques jours avec la première détection, selon un communiqué de presse.

Une nouvelle variante du ransomware Ryuk, jusqu'alors inconnue des fournisseurs de logiciels antivirus et des agences de sécurité, est à l'origine de la cyberattaque contre les activités de Sopra Steria, a confirmé la société de services numériques. Sopra Steria a déclaré que les mesures de sécurité mises en place ont immédiatement permis de contenir le virus dans une partie limitée de son infrastructure, protégeant ainsi ses clients et partenaires.


Les équipes d'enquête de Sopra Steria ont immédiatement fourni aux autorités toutes les informations nécessaires et ont mis la signature virale de cette nouvelle souche Ryuk à la disposition de tous les principaux fournisseurs de logiciels antivirus afin qu'ils puissent mettre à jour leurs logiciels.

« Le virus a été identifié : il s'agit d'une nouvelle version du ransomware Ryuk, jusqu'alors inconnu des fournisseurs de logiciels antivirus et des agences de sécurité », lit-on. « Les équipes d'investigation de Sopra Steria ont immédiatement fourni aux autorités compétentes toutes les informations nécessaires. Le groupe a pu rapidement mettre à disposition de tous les fournisseurs de logiciels antivirus la signature virale de cette nouvelle version, afin qu'ils puissent mettre à jour leur logiciel antivirus ».

L'attaque contre Sopra Steria toucha aussi sa filiale belge, où des projets retardés ou suspendus ont entre-temps été remis en selle. « Après avoir analysé l'attaque et établi un plan de remédiation, le Groupe commence à redémarrer son système d'information et ses opérations progressivement et en toute sécurité, dès aujourd'hui », lit-on. Jusqu’au 26 octobre, au moment où Sopra Steria publiait son communiqué de presse, la société n'avait pas identifié de fuite de données ou de dommages causés aux systèmes d'information de ses clients.

Dans une déclaration, l'entreprise a également dit que tous les projets et activités n'ont pas été touchés. « Nous nous sommes focalisés sur une limitation de la propagation du malware et sur la protection de nos partenaires et clients. Cela s'est passé avec succès en Belgique et dans le reste du groupe ». Sopra Steria a insisté, dans sa déclaration, sur le fait que l'attaque n'a pas provoqué de dégâts dans les systèmes des clients ni en Belgique ni ailleurs: « Les mesures de sécurité que nous avions mises en œuvre au début de l'attaque, conjointement avec une gestion adéquate ont fait en sorte que nous avons pu limiter la propagation du malware ».

Après sa découverte, des sources qui connaissaient des informations sur l'attaque avaient déclaré à des médias que le réseau informatique de Sopra Steria était chiffré par Ryuk ransomware, le même groupe qui a infecté en septembre l’Universal Health Services (UHS), un hôpital et un fournisseur de services de santé figurant au classement Fortune 500, et qui gère plus de 400 établissements de soins de santé aux États-Unis et au Royaume-Uni.

Ryuk a pris de l'importance à la fin de 2018 lorsqu'il a attaqué plusieurs journaux américains. Depuis lors, des chercheurs ont établi un lien entre Ryuk et les chevaux de Troie Emotet et TrickBot. Christiaan Beek, scientifique en chef et ingénieur principal senior chez McAfee, a déclaré que le ransomware Ryuk était à l'origine basé sur le logiciel de rançon Hermes. Hermes était vendu sur le marché noir, permettant aux cybercriminels d'acheter le framework et de le convertir en ce qui est aujourd'hui connu sous le nom de Ryuk.

« On sait que les attaques utilisent généralement une combinaison d'Emotet, de Trickbot et de Ryuk », a déclaré Beek. « Les acteurs impliqués n'hésitent pas à utiliser les dernières vulnérabilités technologiques comme Zerologon dans les premières étapes de la chaîne d'attaque pour obtenir des privilèges sur le réseau d'une victime. Le code a évolué et a été mis à jour au cours des derniers mois et, en particulier, la rapidité du chiffrement et les techniques d'évasion ont été des améliorations prioritaires. Dans de nombreux cas, l'acteur a créé une variante "personnalisée" de Ryuk pour sa victime », a-t-il ajouté.


Kacey Clark, chercheur sur les menaces chez Digital Shadows, a ajouté que le logiciel de rançon Ryuk est devenu une menace prolifique pour les organisations utilisant les systèmes d'exploitation Windows. Elle a déclaré que les opérateurs de ransomware Ryuk auraient exploité la vulnérabilité de Zerologon. À la mi-octobre, les chercheurs en sécurité ont fourni des détails sur les attaques de Ryuk, en soulignant que les attaquants opèrent très rapidement : les opérateurs de Ryuk parviennent à un chiffrement complet sur les réseaux ciblés dans les cinq heures suivant l'accès initial aux victimes par le biais de courriels de phishing acheminant la porte dérobée "BazarLoader".

« Étant donné la gravité et la facilité d'exploitation de Zerologon, les attaques exploitant la vulnérabilité sont susceptibles de persister », a déclaré Clark, qui a exhorté les équipes de sécurité à installer la mise à jour pour CVE-2020-1472 si elles ne l'ont pas encore fait. McAfee a également publié des informations supplémentaires de Ryuk sur son tableau de bord des priorités en matière de menaces.

Au sein du groupe de services informatiques, on déclare qu'il faudra encore quelques semaines avant que tout revienne à la normale et que l'impact total soit connu. On ignore si l'entreprise a versé la rançon, mais elle a déjà fait savoir qu'elle était assurée contre ce genre de cyber-risques, d’après des médias.

Source : Sopra Steria

Et vous ?

Qu’en pensez-vous ?
Comment se protéger contre une nouvelle version des malwares ?

Voir aussi :

Le géant français de l'informatique Sopra Steria touché par le ransomware Ryuk, qui aurait chiffré des parties de son réseau
Le ransomware DoppelPaymer a été utilisé par des hackers pour voler les données appartenant à Tesla, SpaceX, Boeing, ainsi qu'à d'autres sociétés clientes de l'américain Visser Precision
Un ransomware oblige 3 hôpitaux à refuser tous les patients sauf ceux qui sont dans un état plus critique, ces hôpitaux ont vu la capacité d'utiliser leurs systèmes informatiques limitée par l'attaque
Baltimore : le retour à la normale après l'attaque par ransomware va coûter plus de 18 millions de dollars, l'addition pourrait être plus salée

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de moldavi
Inactif https://www.developpez.com
Le 28/11/2020 à 1:27
Bonjour.

Disons que pour une entreprise qui a une expertise dans la cybersécurité, ça la fout mal :

https://www.soprasteria.fr/services/offre-cybersecurite
3  0 
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 26/11/2020 à 10:15
Sopra Steria s'attend à une perte de 50 millions d'euros après l'attaque du ransomware Ryuk
Mais c'est horrible! Je suppose qu'ils vont se rattraper sur les revenus des professionnels de l'informatique qu'ils placent à gauche ou à droite!

En effet, comment pouvoir amortir une perte de 40-50 millions quand on fait 4,5 milliards de chiffre d'affaire annuels?
2  0 
Avatar de onilink_
Membre émérite https://www.developpez.com
Le 27/11/2020 à 13:09
Je m'y connais pas spécialement en économie, mais s'appuyer sur le CA pour argumenter me semble peu pertinent.
C'est plutôt les bénéfices qu'il faut regarder non?
Et pour 2019 le bénéfice net est de 160,3 millions d'euros.

Source: https://www.lefigaro.fr/flash-eco/so...rance-20200221
1  0 
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 27/11/2020 à 15:46
Citation Envoyé par onilink_ Voir le message
Je m'y connais pas spécialement en économie, mais s'appuyer sur le CA pour argumenter me semble peu pertinent.
C'est plutôt les bénéfices qu'il faut regarder non?
Et pour 2019 le bénéfice net est de 160,3 millions d'euros.

Source: https://www.lefigaro.fr/flash-eco/so...rance-20200221
Il ne leur reste donc que 110 millions d'euro en poche!

Tu te proposes que l'on pleure en coeur? Que l'on organise sur ce site une récolte de fond pour sauver cette malheureuse entreprise dans le besoin?

N'oublies pas une chose: les 160 millions de bénéfice officiel, c'est ce qu'ils n'ont pas réussi à "optimiser" en jouant sur la fiscalité des différents pays où ils sont présents!

A qui veux-tu faire croire qu'une société de service informatique n'a qu'une marge bénéficiaire de 3,5% (160 mio versus 4,5 milliards de CA, si je ne me trompe pas dans le nombre de zéro)???
0  0 
Avatar de onilink_
Membre émérite https://www.developpez.com
Le 27/11/2020 à 17:08
Ah mais je ne critiquais pas le fond, juste la forme.
Merci de ne pas me faire dire ce que je n'ai pas dit.

Les pertes sont en grande partie de leur faute de toute façon.
La sécurité d'une entreprise aussi grosse ne doit pas être négligée (et les backup non plus du coup ), surtout de nos jours ou les ransomware sont légion.
Que ça leur serve de leçon...
0  0