En mars 2020, BreachTrace alerte le géant suédois de la sécurité Groupe Gunnebo que des pirates avaient pénétré dans son réseau et vendu l’accès à un groupe criminel spécialisé dans le déploiement de ransomwares. En août, Gunnebo a déclaré avoir réussi à déjouer une attaque de ransomware, mais cette semaine, il est apparu que les intrus avaient volé et publié en ligne des dizaines de milliers de documents sensibles, notamment des schémas de coffres bancaires et de systèmes de surveillance de clients.
le Groupe Gunnebo est une multinationale suédoise qui assure la sécurité physique de divers clients dans le monde, notamment des banques, des agences gouvernementales, des aéroports, des casinos, des bijouteries, des agences fiscales et même des centrales nucléaires. La société a des opérations dans 25 pays, plus de 4 000 employés et des milliards de revenus par an.
Agir sur un conseil de la société de cyber-intelligence basée à Milwaukee, Wisconsin Garder la sécurité, BreachTrace a informé en mars Gunnebo d’une transaction financière entre un hacker malveillant et un groupe cybercriminel spécialisé dans le déploiement de ransomwares. Cette transaction comprenait des informations d’identification sur un compte Remote Desktop Protocol (RDP) apparemment créé par un employé du groupe Gunnebo qui souhaitait accéder à distance au réseau interne de l’entreprise.
Cinq mois plus tard, Gunnebo divulgué il avait subi une cyberattaque visant ses systèmes informatiques qui a forcé l’arrêt des serveurs internes. Néanmoins, la société a déclaré que sa réaction rapide avait empêché les intrus de propager le ransomware dans ses systèmes et que l’impact durable global de l’incident était minime.
Plus tôt cette semaine, l’agence de presse suédoise Dagens Nyheter confirmé que des pirates ont récemment publié en ligne au moins 38 000 documents volés sur le réseau de Gunnebo. Linus Larssonle journaliste qui a publié l’histoire, affirme que le matériel piraté a été téléchargé sur un serveur public au cours de la seconde quinzaine de septembre, et on ne sait pas combien de personnes ont pu y avoir accès.
Citations de Larsson Stefan Syrén, PDG de Gunnebo affirmant que la société n’avait jamais envisagé de payer la rançon exigée par les attaquants en échange de la non-publication de ses documents internes. De plus, Syrén semblait minimiser la gravité de l’exposition.
« Je comprends que vous puissiez considérer les dessins comme sensibles, mais nous ne les considérons pas automatiquement comme sensibles », aurait déclaré le PDG. « En ce qui concerne les caméras dans un environnement public, par exemple, la moitié du point est qu’elles doivent être visibles, donc un dessin avec des emplacements de caméra en soi n’est pas très sensible. »
On ne sait toujours pas si les informations d’identification RDP volées ont été un facteur dans cet incident. Mais le mot de passe du compte Gunnebo RDP – « password01 » – suggère que la sécurité de ses systèmes informatiques peut également avoir fait défaut dans d’autres domaines.
Après cet auteur a publié une demande de contact de Gunnebo sur TwitterBreachTrace a entendu parler de Rasmus Janssonresponsable de compte chez Gunnebo, spécialisé dans la protection des systèmes clients contre les attaques ou les perturbations par impulsions électromagnétiques (EMP), de courtes rafales d’énergie pouvant endommager les équipements électriques.
Jansson a déclaré qu’il avait transmis les informations d’identification volées aux spécialistes informatiques de l’entreprise, mais qu’il ne savait pas quelles mesures l’entreprise avait prises en réponse. Joint par téléphone aujourd’hui, Jansson a déclaré qu’il avait quitté l’entreprise en août, juste au moment où Gunnebo a révélé l’attaque de ransomware déjouée. Il a refusé de commenter les détails de l’incident d’extorsion.
Les attaquants de ransomwares passent souvent des semaines ou des mois à l’intérieur du réseau d’une cible avant de tenter de déployer des logiciels malveillants sur le réseau qui crypte les serveurs et les systèmes de bureau à moins et jusqu’à ce qu’une demande de rançon soit satisfaite.
C’est parce que prendre le pied initial est rarement la partie la plus difficile de l’attaque. En fait, de nombreux groupes de rançongiciels ont maintenant un tel embarras de richesse à cet égard qu’ils ont commencé à embaucher des testeurs d’intrusion externes pour effectuer le travail fastidieux d’escalader cette prise de pied initiale en un contrôle complet sur le réseau de la victime et tous les systèmes de sauvegarde de données – un processus qui peut prendre énormément de temps.
Mais avant de lancer leur ransomware, il est devenu courant pour ces extorqueurs de décharger autant de données sensibles et exclusives que possible. Dans certains cas, cela permet aux intrus d’en tirer profit même si leur logiciel malveillant échoue d’une manière ou d’une autre à faire son travail. Dans d’autres cas, les victimes sont invitées à payer deux demandes d’extorsion : une pour une clé numérique permettant de déverrouiller des systèmes cryptés, et une autre en échange d’une promesse de ne pas publier, vendre aux enchères ou autrement échanger des données volées.
Bien qu’il puisse sembler ironique qu’une entreprise de sécurité physique finisse par publier tous ses secrets en ligne, la réalité est que certaines des plus grandes cibles des groupes de rançongiciels continuent d’être des entreprises qui ne considèrent peut-être pas la cybersécurité ou les systèmes d’information comme leur principale préoccupation ou activité commerciale. – peu importe combien peut rouler sur cette technologie.
En effet, les entreprises qui persistent à considérer la cybersécurité et la sécurité physique comme distinctes semblent faire partie des cibles préférées des acteurs des ransomwares. La semaine dernière, un journaliste russe a publié une vidéo sur Youtube prétendant être une interview avec les cybercriminels derrière la souche de ransomware REvil/Sodinokibi, qui est l’œuvre d’un groupe criminel particulièrement agressif qui a été à l’origine de certaines des attaques de rançon les plus importantes et les plus coûteuses de ces dernières années.
Dans la vidéo, le représentant de REvil a déclaré que les cibles les plus souhaitables pour le groupe étaient les entreprises agricoles, les fabricants, les compagnies d’assurance et les cabinets d’avocats. L’acteur de REvil a affirmé qu’en moyenne, environ une victime sur trois acceptait de payer des frais d’extorsion.
Marquer l’arènePDG d’une société de renseignement sur les menaces en matière de cybersécurité Intel 471, a déclaré que bien qu’il puisse être tentant de croire que les entreprises spécialisées dans la sécurité de l’information ont généralement de meilleures pratiques en matière de cybersécurité que les entreprises de sécurité physique, peu d’organisations ont une compréhension approfondie de leurs adversaires. Intel 471 a publié une analyse de la vidéo ici.
Arena a déclaré qu’il s’agissait d’une lacune particulièrement grave chez de nombreux fournisseurs de services gérés (MSP), des entreprises qui fournissent des services de sécurité externalisés à des centaines ou des milliers de clients qui, autrement, n’auraient peut-être pas les moyens d’embaucher des professionnels de la cybersécurité.
« La dure et malheureuse réalité est que la sécurité d’un certain nombre d’entreprises de sécurité est de la merde », a déclaré Arena. « La plupart des entreprises ont tendance à manquer de compréhension continue et à jour des acteurs de la menace auxquels elles sont confrontées. »