Le fournisseur finlandais de services informatiques et d’hébergement cloud d’entreprise Tietoevry a subi une attaque de ransomware affectant des clients d’hébergement cloud dans l’un de ses centres de données en Suède, l’attaque aurait été menée par le gang de ransomwares Akira.
Tietoevry est une société finlandaise de services informatiques proposant des services gérés et un hébergement cloud pour l’entreprise. L’entreprise emploie environ 24 000 personnes dans le monde et a réalisé un chiffre d’affaires de 3,1 milliards de dollars en 2023.
Tietoevry a confirmé aujourd’hui que l’attaque de ransomware avait eu lieu de vendredi soir à samedi matin et n’avait touché qu’un seul de leurs centres de données en Suède.
« L’attaque s’est limitée à une partie de l’un de nos centres de données suédois, affectant les services de Tietoevry à certains de nos clients en Suède », explique un communiqué de presse de Tietoevry.
« Tietoevry a immédiatement isolé la plate-forme affectée et l’attaque par ransomware n’a pas affecté d’autres parties de l’infrastructure de l’entreprise. »
Breachtrace a appris que ce centre de données est utilisé pour le service d’hébergement cloud géré par l’entreprise de l’entreprise, entraînant des pannes pour plusieurs clients en Suède.
La société affirme qu’elle est en train de restaurer l’infrastructure et les services, mais que les clients restent toujours impactés lorsqu’ils remettent les serveurs en ligne.
« Tietoevry suit une méthodologie éprouvée afin de restaurer les infrastructures et les services. Le travail est effectué dans un ordre planifié pour assurer un traitement correct des données des clients », poursuit le communiqué de presse.
« Le calendrier variera également quelque peu en fonction du client, des solutions en question et des besoins de restauration des données associés. »
Breachtrace a contacté Tietoevry pour plus d’informations sur l’attaque, mais on lui a seulement dit que l’attaque « avait touché une section spécifique de l’un des centres de données de Tietoevry situé en Suède. »
Tietoevry a déjà subi une attaque de ransomware en 2021 qui l’a forcé à déconnecter les services des clients.
L’attaque provoque des pannes généralisées
Breachtrace a appris que l’attaque de ransomware a chiffré les serveurs de virtualisation et de gestion de l’entreprise utilisés pour héberger les sites Web ou les applications d’un large éventail d’entreprises en Suède.
La plus grande chaîne de cinéma suédoise, Filmstaden, a confirmé qu’elle faisait partie des personnes touchées par l’attaque, empêchant les achats en ligne de billets de cinéma via le site Web ou l’application mobile.
Parmi les autres entreprises touchées par l’attaque figurent la chaîne de magasins discount Rusta, le fournisseur de matériaux de construction bruts Moelven et le fournisseur agricole Grangnården, qui a été contraint de fermer ses magasins pendant le rétablissement des services informatiques.
La panne a également un impact sur le système de paie et de ressources humaines géré de Tietoevry, Primula, qui est utilisé par le gouvernement, les universités et les collèges en Suède.
Les universités et collèges touchés dans le pays comprennent l’Institut Karolinska, SLU, l’Université West, l’Université de Stockholm, l’Université de Lunds et l’Université de Malmö.
La panne de Primula a également touché de nombreuses agences gouvernementales et municipalités en Suède, notamment le Statens servicecenter, la municipalité de Vellinge, la municipalité de Bjuv et le comté d’Uppsala.
Pour Uppsala, la panne est plus importante car elle a également un impact sur le système de dossiers de santé de la région.
Le ransomware Akira serait à l’origine de l’attaque
Breachtrace a appris que l’opération de ransomware Akira était à l’origine de l’attaque de Tietoevry, peu de temps après que le gouvernement finlandais a mis en garde contre ses attaques en cours contre des entreprises du pays.
L’opération de ransomware Akira a été lancée en mars 2023 et a rapidement commencé à violer les réseaux d’entreprise du monde entier lors d’attaques à double extorsion.
Le Centre national finlandais de cybersécurité (NCSC) a révélé ce mois-ci qu’il y avait eu 12 cas signalés d’attaques par ransomware Akira en 2023, la majorité se produisant à la fin de l’année.
« Les incidents étaient particulièrement liés à des implémentations VPN Cisco faiblement sécurisées ou à leurs vulnérabilités non corrigées. La récupération est généralement difficile », a averti le NCSC finlandais.
En août, Breachtrace a signalé que le gang Akira ransomware avait violé des comptes VPN Cisco qui n’étaient pas protégés par une authentification multifacteur pour accéder aux réseaux internes de l’entreprise.
Une fois que les auteurs de menaces violent un réseau, ils se propagent latéralement à d’autres appareils tout en volant des données d’entreprise. Une fois que toutes les données ont été volées et qu’elles obtiennent des privilèges administratifs, les auteurs de menaces chiffrent les fichiers sur le réseau.
Cisco a déclaré à Breachtrace à l’époque que les clients devaient configurer MFA sur tous les comptes VPN et envoyer les données de journalisation à un serveur syslog distant.
À l’aide d’un serveur syslog distant, même si les auteurs de menaces effacent les journaux sur le routeur Cisco, ils seront toujours accessibles pour analyse après une violation.