Les cybercriminels du groupe REvil exigeraient qu’Acer, un important constructeur IT taïwanais, paye 50 millions de dollars en cryptomonnaie sous peine de voir certains documents confidentiels divulgués.
Acer, un constructeur IT taïwanais spécialisée dans les produits IT BtoC et BtoB, aurait été victime mi-mars d’une attaque par rançongiciel (ransomware) avec l’outil Sodinokibi menée par un groupe cybercriminel baptisé REvil.
Acer n’a pas encore confirmé l’attaque. Le constructeur IT a juste reconnu officiellement avoir constaté des activités anormales sur son SI et qu’il avait pris des mesures pour y mettre fin. Selon les experts, l’exploitation de la faille ProxyLogon dans les serveurs Exchange n’est pas à exclure, car ces derniers ont été beaucoup attaqués récemment.
Une rançon de 50 millions de dollars ?
Ces hackers exigeraient selon le magasine bleepingcomputer.com une rançon de 50 millions de dollars, ce qui représente la plus grosse somme connue qui a jamais été demandée dans ce type d’attaque.
L’avis de Rafik Hajem, directeur de Cybereason en France, sur cette demande de rançon : “Selon certaines sources, les attaquants auraient offert une remise de 20% à Acer. Nous savons que les négociations accompagnent souvent les demandes de rançon, en revanche les attaquants sont rarement conciliants. Avant de chercher à négocier la rançon, il est essentiel pour une entreprise de solliciter les conseils de ses avocats et de son assurance, et bien entendu d’alerter les autorités afin de s’assurer de ce qui est légal ou non. Le paiement des rançons n’est aujourd’hui pas vraiment illégal, mais évidemment les autorités recommandent de ne pas céder au chantage et de ne jamais payer les pirates. Malheureusement, ça n’est pas si simple, pour des groupes d’une telle dimension, les enjeux sont énormes, mais pensons également à des organismes aux activités sensibles de type hôpitaux, etc. Il est évident que la question se pose encore pour beaucoup. Récemment plusieurs sociétés auraient payé des rançons (Garmin, 10 millions, Travelex, plus de 2 millions, etc.)”.
Les cybercriminels le menacent de divulguer des documents confidentiels
Si Acer ne paye pas la somme, les cybercriminels le menacent de divulguer des documents confidentiels. Selon le magazine spécialisé Zataz.com, ils ont déjà publié sur le site Sodinokibi situé dans le darkweb des captures d’écran de documents financiers, ainsi que des fichiers relatifs à des transactions commerciales en Asie par exemple. On voit sur ces captures d’écran (NDLR : sous réserve de leur authenticité), dont l’une est publiée par Zataz.com (voir photo) des transactions avec des entreprises, dont des groupes de distribution IT comme Synnex en Asie. A ce stade, aucun document ne montre un éventuel piratage des filiales européennes du groupe Acer.
L’avis de Joseph Carson, Chef Sécurité Scientiste de Thycotic, sur ce qu’il considère à ce jour comme la plus grosse demande de rançon de l’histoire: “Et comme nous pouvons le voir dans cette demande de rançon extrêmement élevée, le prix à payer pour ne pas être préparé est en augmentation. Il suffit qu’un employé disposant de privilèges d’administrateur local clique sur une pièce jointe malveillante pour que toute une entreprise soit détruite.
Ce que nous constatons avec les ransomwares, c’est que les cybercriminels continuent d’abuser des accès à privilèges qui leur permettent de voler des données sensibles et de déployer des ransomwares malveillants. Cela signifie que les entreprises doivent faire des accès à privilèges une mesure de sécurité prioritaire pour réduire les risques de ransomware et garantir des contrôles d’accès et un chiffrement solide pour les données sensibles.“