PrismHRune entreprise qui vend des technologies utilisées par d’autres entreprises pour aider plus de 80 000 petites entreprises à gérer la paie, les avantages sociaux et les ressources humaines, a subi ce qui semble être une attaque de ransomware en cours qui perturbe bon nombre de ses services.
PrismHR, basé à Hopkinton, dans le Massachusetts, gère tout, du traitement de la paie et des ressources humaines à l’assurance maladie et aux formulaires fiscaux pour des centaines d ‘«organisations professionnelles d’employeurs» (PEO) qui desservent plus de deux millions d’employés. L’entreprise traite plus de 80 milliards de dollars de paiements de paie par an pour le compte des PEO et de leurs clients.
D’innombrables petites entreprises se tournent vers les PEO en partie parce qu’elles simplifient le respect des diverses charges sociales de l’État et parce que les PEO sont le moyen le plus simple pour les petites entreprises de mettre en commun leurs ressources et d’obtenir des taux d’assurance maladie plus avantageux pour leurs employés.
PrismHR n’a pas encore répondu aux demandes de commentaires. Mais dans un avis envoyé à ses partenaires PEO, PrismHR a déclaré avoir détecté une activité suspecte au sein de ses réseaux le 28 février et avoir désactivé l’accès à sa plate-forme pour tous les utilisateurs afin de contenir l’incident de sécurité.
La société a déclaré que la perturbation avait touché 200 clients PEO à travers le pays et que la préoccupation la plus immédiate était d’aider les PEO à s’assurer que leurs clients pouvaient traiter la paie cette semaine.
« La panne peut s’étendre tout au long d’aujourd’hui et peut-être plus tard, avec un impact potentiel sur le traitement de la paie », a expliqué Prism dans un modèle d’e-mail qu’il a suggéré aux partenaires PEO de partager avec leurs clients. «Nous nous engageons à faire en sorte que chacun reçoive son salaire aussi rapidement et aussi précisément que possible. Pour cette période de paie, nous utiliserons des estimations de la dernière période de paie disponible. Une fois la plate-forme logicielle remise en ligne, nous effectuerons un rapprochement et corrigerons les écarts dans les plus brefs délais.
Jacob Cloran est co-fondateur de Décimal, une entreprise qui s’occupe de la comptabilité des petites entreprises, dont beaucoup s’appuient sur des PEO affectés par la panne de PrismHR. Decimal lui-même utilise un PEO qui s’appuie sur PrismHR.
« Nous n’avons pas de bonne option pour gérer notre paie cette semaine, et le message que nous avons reçu de notre PEO ne me donne pas beaucoup de confiance que nous serons en mesure de le faire », a déclaré Cloran.
Cloran a déclaré que bien qu’il existe d’autres entreprises basées sur le cloud qui travaillent avec plusieurs PEO, PrismHR est de loin la plus grande.
« Prism est la seule véritable option sur le marché des logiciels PEO », a-t-il déclaré. « Tous ceux que je connais qui ont essayé l’un des autres se retrouvent chez Prism. C’est la meilleure de toutes les mauvaises options disponibles.
PrismHR n’a pas précisé ce qui était responsable de l’activité suspecte du réseau, mais leurs actions jusqu’à présent sont tout droit sorties des recommandations des manuels pour répondre à une épidémie de ransomware. Un avis du PEO travaillant avec certains des clients de Cloran indiquait que PrismHR était en train de reconstruire l’ensemble de son système à partir de sauvegardes de données dans un nouvel environnement.
De plus, les escrocs à l’origine des attaques de rançongiciels attendent généralement le week-end pour libérer leurs logiciels malveillants au sein des organisations victimes, sachant que la plupart des cibles seront à court de personnel ou absentes du bureau à ce moment-là. PrismHR a déclaré avoir détecté l’activité dimanche.
Les victimes de ransomwares qui sont peut-être les plus difficiles sont celles qui fournissent l’hébergement de données dans le cloud et les offres de logiciels en tant que service, car ces entreprises sont souvent incapables de servir leurs clients lorsqu’une infestation de ransomwares est active.
Ransomware rend tous les fichiers qu’il touche illisibles à moins et jusqu’à ce qu’une victime paie une clé numérique nécessaire pour déverrouiller le cryptage sur eux. Pire encore, il est presque devenu une pratique exemplaire parmi les groupes criminels de rançongiciels de voler autant de données que possible à l’organisation victime avant de libérer le logiciel malveillant de rançon dans un environnement cible.
Certaines de ces données sont souvent ensuite publiées sur des sites d’humiliation des victimes du dark web dans le but de forcer l’entreprise victime à payer. Certaines entreprises victimes de rançongiciels sont même confrontées à une double demande de rançon : une pour une clé numérique nécessaire pour déverrouiller l’accès aux fichiers, et un deuxième paiement en échange d’une promesse de ne pas publier toutes les données volées. Ceux qui refusent d’être extorqués doivent s’attendre à ce que d’énormes quantités de données sensibles de l’entreprise soient publiées en ligne ou vendues sur le dark web (ou les deux).
PrismHR a déclaré dans une déclaration à ses clients PEO que, bien que son enquête et sa réponse à l’incident soient en cours, la société « n’est au courant d’aucune violation ou compromission de données sensibles ».
Compte tenu du volume et de la nature sensible des données gérées par PrismHR pour le compte des clients PEO, il ne fait aucun doute que ces clients et leurs clients espèrent également que cette déclaration est exacte.