Fournisseur de messagerie VFEmail a subi ce que l’entreprise appelle une « destruction catastrophique » aux mains d’un intrus encore inconnu qui a saccagé toutes les données primaires et de sauvegarde de l’entreprise aux États-Unis. Le fondateur de l’entreprise dit qu’il craint maintenant que quelque 18 ans d’e-mails clients aient disparu à jamais.
Fondée en 2001 et basée à Milwaukee, Wisc., VFEmail fournit un service de messagerie aux entreprises et aux utilisateurs finaux. Les premiers signes de l’attaque sont apparus le matin du 11 février, lorsque le compte Twitter de l’entreprise a commencé à envoyer des rapports d’utilisateurs qui ont déclaré ne plus recevoir de messages. VFEmail’s Compte Twitter a répondu que « les systèmes externes, de systèmes d’exploitation différents et d’authentification à distance, dans plusieurs centres de données sont en panne ».
Deux heures plus tard, VFEmail tweeté qu’il avait surpris un pirate informatique en train de formater l’un des serveurs de messagerie de l’entreprise aux Pays-Bas.
« nl101 est actif, mais aucun e-mail entrant », lire un tweet peu de temps après. « Je crains que toutes les données basées aux États-Unis ne soient perdues. »
« A ce moment, l’attaquant a formaté tous les disques sur chaque serveur », a écrit VFEmail. « Chaque machine virtuelle [virtual machine] est perdu. Chaque serveur de fichiers est perdu, chaque serveur de sauvegarde est perdu. Étrangement, toutes les VM ne partageaient pas la même authentification, mais toutes ont été détruites. C’était plus qu’un exploit multi-mot de passe via ssh, et il n’y avait pas de rançon. Il suffit d’attaquer et de détruire.
Dans une mise à jour publiée sur le site Internet de l’entreprisepropriétaire de VFEmail Rick Romero a écrit que de nouveaux e-mails étaient en cours de livraison et que des efforts étaient déployés pour récupérer les données utilisateur pouvant être récupérées.
« Pour le moment, je ne suis pas sûr du statut du courrier existant pour les utilisateurs américains », a écrit Romero. « Si vous avez votre propre client de messagerie, N’ESSAYEZ PAS DE LE FAIRE FONCTIONNER. Si vous reconnectez votre client à votre nouvelle boîte aux lettres, tout votre courrier local sera perdu.
Joint par BreachTrace mardi matin, Romero a déclaré qu’il était en mesure de récupérer un lecteur de sauvegarde hébergé aux Pays-Bas, mais qu’il craignait que tout le courrier des utilisateurs américains ne soit irrémédiablement perdu.
« Je n’ai pas d’attentes très élevées pour récupérer des données américaines », a déclaré Romero lors d’un chat en ligne.
Jean Senchakun utilisateur de longue date de VFEmail de Floride qui a également été un lecteur et un commentateur fidèle de ce blog, a déclaré à BreachTrace que l’attaque avait complètement effacé sa boîte de réception dans l’entreprise – quelque 60 000 e-mails envoyés et reçus sur plus d’une décennie.
« J’ai un compte sur ce site, tous les e-mails de mon compte ont été supprimés », a déclaré Senchak.
Lorsqu’on lui a demandé s’il avait des indices sur les attaquants ou sur la manière dont ils auraient pu entrer par effraction, Romero a déclaré que l’intrus semblait faire son sale boulot depuis un serveur basé en Bulgarie (94.155.49[9]nom d’utilisateur « aktv ».)
« Je n’ai pas encore beaucoup cherché sur les acteurs », a-t-il déclaré. « Il semblait que l’IP était une société d’hébergement bulgare. Je suppose donc que c’était juste une machine virtuelle à partir de laquelle ils utilisaient pour lancer l’attaque. Il y avait certainement quelque chose que quelqu’un ne voulait pas trouver. Ou, j’ai vraiment énervé quelqu’un. C’est toujours possible.
Ce n’est pas la première fois que des criminels ciblent VFEmail. J’ai écrit sur l’entreprise en 2015 après qu’elle ait subi une attaque par déni de service distribué (DDoS) débilitante après que Romero ait refusé de payer une demande de rançon de un groupe d’extorsion en ligne. Une autre série d’attaques DDoS en 2017 a forcé VFEmail à trouver un nouveau fournisseur d’hébergement.
En décembre 2018, Romero tweeté ce service avait été interrompu par une attaque DDoS qu’il attribuait à des « script kiddies », une référence dérisoire aux hooligans en ligne peu qualifiés.
« Après 17 ans, si je prévoyais de le fermer, ce serait moi qui le fermerais – pas les script kiddies », a déclaré Romero. a écrit le 8 décembre.
Les attaques qui cherchent à détruire complètement les données et les serveurs sans avertissement ni demande d’extorsion ne sont pas aussi courantes que, par exemple, les infestations de rançongiciels, mais lorsqu’elles se produisent, elles peuvent être dévastatrices (le piratage de Sony Pictures en 2014 et l’attaque non résolue de 2016 contre les États-Unis -basé sur ISP Staminos vient à l’esprit).
Il n’est pas clair comment ou si VFEmail se remettra de cette dernière attaque, mais de telles actions sont un rappel troublant que bien que la plupart des cybercriminels aient en tête une sorte de profit à court ou à long terme, un intrus avec un accès privilégié à un réseau peut simplement ainsi que de détruire pratiquement tout ce qui est à portée de main, car ils peuvent planter des logiciels malveillants ou des menaces d’extorsion comme les rançongiciels.