Fournisseur d’hébergement cloud Dataresolution.net a du mal à remettre ses systèmes en ligne après avoir subi une infestation de ransomware la veille de Noël, a appris BreachTrace. La société affirme que ses systèmes ont été touchés par le Ryûk ransomware, la même souche de malware qui a paralysé les opérations d’impression et de livraison de plusieurs grands journaux américains au cours du week-end.
Basé à San Juan Capistrano, en Californie Résolution de données LLC sert quelque 30 000 entreprises dans le mondeoffrant des services d’hébergement de logiciels, de systèmes de continuité des activités, de cloud computing et de centres de données.
La société n’a pas encore répondu aux demandes de commentaires. Mais selon une mise à jour de statut partagée par Data Resolution avec les clients concernés le 29 décembre 2018, les attaquants sont entrés par effraction via un compte de connexion compromis la veille de Noël et ont rapidement commencé à infecter les serveurs avec la souche de rançongiciel Ryuk.
Partie d’une mise à jour sur la panne partagée avec les clients de Data Resolution via Dropbox le 29 décembre 2018.
L’intrusion a donné aux attaquants le contrôle du domaine du centre de données de Data Resolution, excluant brièvement l’entreprise de ses propres systèmes. La mise à jour envoyée aux clients indique que Data Resolution a fermé son réseau pour arrêter la propagation de l’infection et pour suivre le processus de nettoyage et de restauration des systèmes infectés.
Data Resolution assure aux clients qu’il n’y a aucune indication que des données ont été volées et que le but de l’attaque était d’extraire le paiement de l’entreprise en échange d’une clé numérique qui pourrait être utilisée pour déverrouiller rapidement l’accès aux serveurs saisis par le ransomware.
Un extrait d’une mise à jour partagée par Data Resolution avec les clients concernés le 31 décembre 2018.
La souche de ransomware Ryuk a été détaillée pour la première fois en août 2018 rapport par société de sécurité Point de contrôlequi indique que le logiciel malveillant pourrait être lié à une équipe de piratage nord-coréenne sophistiquée connue sous le nom de Groupe Lazare.
Ryûk aurait était le même logiciel malveillant qui a infecté le Temps de Los Angeles‘ L’imprimerie olympique au cours du week-end, une attaque qui a entraîné l’interruption des services d’impression et de livraison de journaux pour un certain nombre de publications qui dépendent de l’usine, notamment le Los Angeles Times et le Tribune de l’Union de San Diego.
Une mise à jour de statut partagée par Data Resolution avec les clients concernés plus tôt dans la journée indique que le fournisseur d’hébergement cloud travaille toujours pour restaurer l’accès aux e-mails et plusieurs bases de données pour les clients. La mise à jour indique également que Data Resolution est en train de restaurer le service pour les entreprises qui en dépendent pour héberger des installations de Dynamique GPun progiciel populaire utilisé par de nombreuses organisations pour les services de comptabilité et de paie.
Une mise à jour de statut partagée par Data Resolution avec les clients concernés le 2 janvier 2018 montre que l’entreprise a toujours du mal à restaurer les services plus d’une semaine après le début de l’attaque.
Les fournisseurs d’hébergement cloud sont souvent présentés comme un moyen pour les entreprises d’accroître la sécurité et de mieux se protéger contre les menaces telles que les ransomwares, qui brouillent les données sur les systèmes infectés et exigent un paiement en échange d’une clé numérique nécessaire pour déverrouiller les systèmes affectés.
Dans le même temps, les fournisseurs de cloud représentent une cible particulièrement attrayante pour les attaques de ransomware car ils stockent de grandes quantités de données pour d’autres entreprises. En 2017, fournisseur d’hébergement cloud Nuage a été touché par une attaque de ransomwareentraînant une panne qui a duré plusieurs jours.
Tout dépend des pratiques de sécurité maintenues par chaque fournisseur, selon un Examen de la technologie MIT histoire l’année dernière qui a désigné les attaques de rançongiciels dans le cloud comme l’un des principaux problèmes de sécurité pour 2018.
« Les plus grands opérateurs de cloud, comme Google, Amazon et IBM, ont embauché certains des esprits les plus brillants en matière de sécurité numérique, ils ne seront donc pas faciles à casser », a écrit Martin Gilles. « Mais les petites entreprises sont susceptibles d’être plus vulnérables, et même une brèche modeste pourrait entraîner un gros salaire pour les pirates impliqués. »
Une source d’une entreprise qui utilise Data Resolution pour gérer les paiements de paie a déclaré à BreachTrace que le fournisseur d’hébergement cloud avait déclaré qu’il n’avait pas tenté de payer la rançon demandée, préférant plutôt restaurer les systèmes à partir de sauvegardes.