Une entreprise de 158 ans contrainte à la fermeture après une attaque par ransomware : le pirate n'a eu qu'à deviner un seul mot de passe pour mettre 700 personnes au chômage

Une entreprise de 158 ans contrainte à la fermeture après une attaque par ransomware : le pirate n'a eu qu'à deviner un seul mot de passe
pour mettre 700 personnes au chômage

L'entreprise de transport britannique Knights of Old (KNP), forte d'une histoire de 158 ans, a été contrainte de cesser ses activités à la suite d'une cyberattaque dévastatrice. Cette attaque, attribuée au groupe de hackers « Akira », a été rendue possible par un seul mot de passe d'employé, malheureusement trop facile à deviner. Une fois sur le réseau de l'entreprise, les données ont été chiffrées et les systèmes internes verrouillés. Les conséquences ont été dramatiques : 700 emplois perdus et une flotte de 500 camions immobilisée.

Fondée en 1865, KNP Logistics Group symbolisait la longévité, la stabilité et l’adaptation à travers les époques. Avec près de 700 employés et 500 camions, l’entreprise assurait des services logistiques à l’échelle nationale et européenne, tout en représentant un pilier économique dans le Northamptonshire. Elle comptait de nombreux clients industriels et avait survécu à deux guerres mondiales, à des crises pétrolières et à la pandémie de COVID-19.

Et pourtant, un seul mot de passe aurait suffi à un groupe de pirates informatiques pour détruire cette entreprise vieille de 158 ans et mettre 700 personnes au chômage. KNP n'est qu'une des dizaines de milliers d'entreprises britanniques qui ont été victimes de telles attaques. Cependant, dans son cas, les cybercriminels auraient accédé aux systèmes informatiques de KNP grâce à un mot de passe faible utilisé par l'un des employés de l'entreprise. En réalité, ce mot de passe était si faible qu'il aurait été facilement deviné.

Bien entendu, KNP ne souhaite pas révéler le nom de l'employé dont le mot de passe a été compromis. Le directeur de KNP, Paul Abbott, a affirmé à la BBC qu'il n'a pas dit à l'employé que son mot de passe compromis avait très probablement conduit à la destruction de l'entreprise. « Aimeriez-vous le savoir si c'était vous ? », demande-t-il.

Une petite erreur pour un impact monumental à l'échelle de l'entreprise

En 2023, KNP exploitait 500 camions, la plupart sous la marque Knights of Old. L'entreprise affirmait que son système informatique était conforme aux normes industrielles et qu'elle avait souscrit une assurance contre les cyberattaques. Mais un groupe de pirates informatiques, connu sous le nom d'Akira, s'est introduit dans le système, verrouillant toutes les données opérationnelles de l'entreprise. Serveurs, sauvegardes et systèmes de reprise après sinistre ont tous été rendus inutilisables, paralysant entièrement les activités de la société. De plus, tous leurs terminaux avaient également été compromis, ce qui a été décrit comme le pire scénario possible.

Selon les pirates, le seul moyen de récupérer les données était de payer : « Si vous lisez ceci, cela signifie que l'infrastructure interne de votre entreprise est totalement ou partiellement hors service... Gardons nos larmes et notre ressentiment pour nous et essayons d'établir un dialogue constructif », pouvait-on lire dans la demande de rançon.

Les pirates n'ont pas fixé de prix, mais une société spécialisée dans la négociation de rançons a estimé que la somme pourrait s'élever à 5 millions de livres sterling, une somme que KNP n'était pas en mesure de payer. Malgré la souscription à une assurance contre les cyberattaques et l'assistance d'une équipe de gestion de crise cybernétique de Solace Global, l'entreprise n'a pas pu récupérer ses données ni satisfaire aux exigences des pirates.

Cette incapacité à récupérer ses systèmes et à honorer la rançon a conduit à l'effondrement définitif de Knights of Old, laissant derrière elle une histoire séculaire et de nombreux employés sans emploi.

Cet événement tragique souligne l'importance cruciale de la cybersécurité, même pour les entreprises les plus établies, et met en lumière les conséquences dévastatrices que peut avoir une simple faille de sécurité. « Nous avons besoin que les organisations prennent des mesures pour sécuriser leurs systèmes et leurs activités », déclare Richard Horne, PDG du National Cyber Security Centre (NCSC).


58 % des attaques de ransomware en 2024 ont commencé par la compromission

Un rapport de Coalition, fournisseur de cyberassurance, a révélé que 58 % des attaques de ransomware en 2024 ont commencé par la compromission, par les acteurs de la menace, de dispositifs de sécurité périmétrique tels que les réseaux privés virtuels (VPN) ou les pare-feux.

Ces révélations surviennent à un moment où l'augmentation des attaques par ransomware met en évidence les défis croissants en matière de cybersécurité dans le monde. Un récent rapport de Malwarebytes a en effet révélé une augmentation de plus de 60 % des attaques de ransomwares en 2024, dont 63 % aux États-Unis et 67 % au Royaume-Uni. Cela indique que les ransomwares sont plus largement accessibles à un plus grand nombre de cybercriminels.

Selon le récent rapport de Coalition, les protocoles de bureau à distance sont les deuxièmes dispositifs les plus exploités pour les attaques de ransomware (18 %). Les vecteurs d'accès initiaux (IAV) les plus courants sont le vol d'informations d'identification (47 %) et l'exploitation de logiciels (29 %). Les fournisseurs tels que Fortinet, Cisco, SonicWall, Palo Alto Networks et Microsoft fabriquent les produits les plus souvent compromis.

« Bien que les ransomwares soient une préoccupation sérieuse pour toutes les entreprises, ces informations démontrent que le cahier des charges des acteurs de la menace pour les ransomwares n'a pas beaucoup évolué - ils s'attaquent toujours aux mêmes technologies éprouvées et aux mêmes méthodes », déclare Alok Ojha, responsable des produits de Coalition pour la sécurité. « Cela signifie que les entreprises peuvent également disposer d'un guide fiable et qu'elles devraient se concentrer sur l'atténuation des problèmes de sécurité les plus risqués afin de réduire la probabilité d'un ransomware ou d'une autre cyberattaque. La surveillance continue de la surface d'attaque pour détecter ces technologies et atténuer les vulnérabilités éventuelles peut faire la différence entre une menace et un incident. »

Les connexions exposées sont également un facteur sous-estimé de risque de ransomware. Coalition a détecté plus de 5 millions de solutions de gestion à distance exposées à l'internet et des dizaines de milliers de panneaux de connexion exposés ont été détectés sur l'internet. Lors d'une demande d'assurance cybernétique, plus de 65 % des entreprises ont découvert qu'elles disposaient d'au moins un panneau de connexion web exposé à l'internet.

« Le rapport de cette année se concentre sur les risques de sécurité les plus cruciaux que les entreprises disposant de peu de ressources doivent comprendre pour mieux calibrer leurs investissements défensifs et renforcer leur résilience », déclare Daniel Woods, chercheur principal en sécurité chez Coalition. « Le calibrage implique d'équilibrer les investissements de sécurité entre les vulnérabilités, les mauvaises configurations et les renseignements sur les menaces, tout en répondant aux menaces émergentes, telles que les vulnérabilités du type "Zero-Day" exploitées à l'état brut ». C'est pourquoi Coalition émet des alertes Zero-Day pour aider les entreprises, en particulier les PME disposant de ressources limitées en matière de sécurité, à garder une longueur d'avance sur ces vulnérabilités et à réduire la fatigue des alertes en donnant la priorité à celles qui posent le plus grand risque. »

Au-delà des perturbations opérationnelles, les ransomwares imposent également de lourdes charges financières. Selon un rapport de ThreatConnect, les attaques de ransomware peuvent coûter aux entreprises jusqu'à 30 % de leur revenu d'exploitation. L'étude a analysé les pertes financières dans différents secteurs, notamment les soins de santé, la fabrication et les services publics, et a mis en évidence l'impact disproportionné sur les petites et moyennes entreprises.

Source : BBC

Et vous ?

Faut-il rendre obligatoire l’authentification à deux facteurs (MFA) dans toutes les entreprises, quelles que soient leur taille ou leur ancienneté ?

Une entreprise peut-elle encore se permettre d’ignorer la cybersécurité au niveau de son conseil d’administration ?

La responsabilité d’une attaque réussie doit-elle reposer uniquement sur les employés négligents ou également sur la direction générale ?

Que penser du fait qu’un mot de passe deviné puisse suffire à détruire une entreprise de 700 employés ? Est-ce un échec technique, humain ou managérial ?

La formation obligatoire du personnel aux risques numériques doit-elle devenir une norme légale, au même titre que la sécurité incendie ?

Comment expliquer aux salariés que la perte de leur emploi provient d’une négligence numérique de leur entreprise ?

Qui doit payer le prix des erreurs en cybersécurité : l’entreprise, l’assurance, l’État, ou les employés ?