Ignorer le contenu principal

Principales attaques par ransomware

Principales attaques par ransomware

Les attaques par ransomware constituent un marché important. D'ici la fin de l'année 2021, on estime qu'une entreprise sera visée par une attaque de ransomware toutes les 11 secondes, causant jusqu'à 20 milliards de dollars de dommages. Les attaques par ransomware ne concernent pas seulement les organisations comme les entreprises, les gouvernements et les prestataires de soins de santé, elles touchent également les clients et les employés, dont les données sont souvent les dommages collatéraux de ce type d'attaques.

Les attaques par ransomware sont celles qui utilisent des logiciels malveillants pour chiffrer les données et les fichiers des cibles. Elles diffèrent des campagnes d'extorsion, qui utilisent des attaques par déni de service (DDoS) pour submerger les cibles de trafic en promettant de mettre fin à leur assaut en échange d'un paiement.

Si certaines organisations choisissent de payer les revendications des ransomwares, cette solution n'est généralement pas recommandée, car il n'y a aucune garantie que l'accès aux systèmes infectés sera rétabli et, en effectuant le paiement, les victimes encouragent davantage ces formes de cyberattaques. De nombreuses entreprises ne divulguent pas les attaques par ransomware ou, si elles le font, elles ne révèlent pas les exigences des attaquants.

Nous évaluons ici quelques-unes des plus récentes attaques par ransomware en 2020, de janvier à décembre.

Attaques par ransomware en janvier 2020

1. L'attaque par ransomware visant Travelex

Les pirates informatiques ont commencé l'année par une attaque contre l'entreprise de change étrangère Travelex, qui a été contrainte de mettre hors service tous ses systèmes informatiques et de se rabattre sur des documents papier. En conséquence, l'entreprise a dû mettre hors service ses sites Web dans 30 pays.

Un groupe de pirates informatiques appelé Sodinokibi (également connu sous le nom de REvil) était à l'origine de l'attaque, réclamant 6 millions de dollars à Travelex. Le groupe a affirmé avoir accédé au réseau informatique de l'entreprise six mois auparavant, ce qui lui a permis de télécharger 5 Go de données sensibles concernant les clients, notamment des dates de naissance et des numéros de carte de crédit. Le groupe a précisé que si Travelex payait la rançon, il supprimerait les données, mais que dans le cas contraire, la rançon doublerait tous les deux jours. Le groupe a déclaré qu'il vendrait les données à d'autres cybercriminels au bout de sept jours.

Travelex aurait versé au groupe 2,3 millions de dollars en Bitcoin et rétabli ses systèmes en ligne après deux semaines d'interruption. En août 2020, la société a annoncé qu'elle se mettait sous administration judiciaire (l'équivalent britannique du chapitre 11), en raison des effets combinés de l'attaque par ransomware et de l'impact de la pandémie de Covid-19.

D'autres attaques notables ont eu lieu ce mois-là :

  • Les étudiants du Pittsburgh Unified School District de Pennsylvanie se sont retrouvés sans accès à Internet après qu'une attaque par ransomware a désactivé les systèmes réseau du district pendant les vacances de Noël.
  • Les patients d'un cabinet médical de Miramar, en Floride, ont reçu des demandes de rançon de la part d'un cybercriminel menaçant de divulguer leurs dossiers médicaux privés à moins qu'une rançon ne soit payée.

Attaques par ransomware en février 2020

2. Attaque par ransomware visant INA Group

Le jour de la Saint-Valentin, une cyberattaque a paralysé certaines opérations commerciales d'INA Group, la plus grande compagnie pétrolière et la plus grande chaîne de stations-service de Croatie. L'attaque était une infection par un ransomware qui a infecté puis chiffré certains des serveurs dorsaux de l'entreprise.

Bien que l'attaque n'ait pas empêché la société de fournir du gaz à ses clients, elle a eu une incidence sur sa capacité à émettre des factures, à enregistrer l'utilisation des cartes de fidélité, à émettre de nouveaux bons mobiles et à permettre aux clients de payer certaines factures.

L'attaque aurait été causée par une infection d'une souche d'un ransomware du groupe Clop. Les chercheurs en sécurité considèrent le groupe Clop comme un « ransomware grand jeu », un terme qui désigne les groupes criminels qui ciblent les entreprises pour infecter leurs réseaux, chiffrer les données et exiger des rançons extrêmement élevées.

D'autres attaques notables ont eu lieu ce mois-là :

  • NRC Health, une entreprise de soins de santé qui travaille avec 75 % des 200 plus grands hôpitaux des États-Unis, a été victime d'une attaque. En réponse, la société a fermé ses systèmes, y compris les portails destinés aux clients, afin de limiter la violation des données. Les données stockées par l'entreprise comprennent les salaires du personnel et des informations relatives au remboursement de programmes, comme Medicare.

Attaques par ransomware en mars 2020

3. Attaque par ransomware visant Communications & Power Industries

En mars, la société californienne Communications & Power Industries (CPI), un important fabricant de produits électroniques, a été victime d'une attaque par ransomware.

L'entreprise fabrique des composants pour les appareils et les équipements militaires, et compte le Département de la Défense des États-Unis parmi ses clients. L'attaque par ransomware a eu lieu lorsqu'un administrateur de domaine de l'entreprise a cliqué sur un lien malveillant qui a déclenché un logiciel malveillant de chiffrement de fichiers. Comme des milliers d'ordinateurs du réseau se trouvaient sur le même domaine non segmenté, le ransomware s'est rapidement propagé à tous les bureaux de CPI, y compris à ses sauvegardes sur site.

L'entreprise aurait payé 500 000 dollars en réponse à l'attaque. On ne sait pas quel type de ransomware était impliqué.

D'autres attaques notables ont eu lieu ce mois-là :

  • Au Royaume-Uni, le centre médical Hammersmith, situé à Londres, a été attaqué par le groupe de ransomware Maze. Le centre médical réalise des essais cliniques précoces pour les médicaments et les vaccins. Cette attaque a eu lieu quelques jours seulement après que le groupe Maze a promis de ne pas attaquer les organisations de recherche médicale pendant la pandémie de Covid-19. Après que le Centre a refusé de payer la rançon, le groupe a publié les données personnelles de milliers d'anciens patients. Les médias ont cité le directeur du centre, Malcolm Boyce, qui a déclaré qu'il préférait mettre la clé sous la porte plutôt que de payer la rançon.

top ransomware

Attaques par ransomware en avril 2020

4. Attaque par ransomware visant Energias de Portugal

En avril, le géant portugais de l'énergie Energias de Portugal (EDP) aurait été victime d'une attaque. Des cybercriminels utilisant le ransomware Ragnar Locker ont chiffré les systèmes de l'entreprise et ont exigé une rançon de près de 10 millions de dollars.

Les attaquants ont affirmé avoir volé plus de 10 To de données sensibles de l'entreprise, qu'ils ont menacé de divulguer si la rançon n'était pas payée. Les pirates informatiques ont publié des captures d'écran de certaines données sensibles sur un site de fuite qui était censé présenter une preuve de leur possession. Les données étaient censées comprendre des informations confidentielles relatives à la facturation, aux contrats, aux transactions, aux clients et aux partenaires.

EDP a confirmé qu'une attaque avait eu lieu, mais a déclaré qu'il n'y avait aucune preuve que les données sensibles de clients avaient été compromises. Toutefois, partant du principe que le vol des données des clients était susceptible d'être révélé à l'avenir, la société a offert aux clients un an de protection d'identité Experian sans frais.

D'autres attaques notables ont eu lieu ce mois-là :

  • Cognizant, une société classée au Fortune 500 qui fournit des services informatiques à des entreprises de divers secteurs, a révélé avoir été la cible d'une attaque par ransomware. L'attaque a touché ses systèmes internes et a entraîné la suppression de son répertoire interne, perturbant ainsi les services offerts à ses clients. Dans son rapport concernant les résultats du deuxième trimestre 2020, publié fin juillet, Cognizant a déclaré que le chiffre d'affaires de ses secteurs d'activité était en baisse de 3,4 %, à 4 milliards de dollars. Cette situation est due, en partie, à l'attaque par ransomware du mois d'avril.

Attaques par ransomware en mai 2020

5. Attaque par ransomware visant Grubman Shire Meiselas & Sacks

En mai, le cabinet d'avocats Grubman Shire Meiselas & Sacks, établi à New York et comptant de nombreuses célébrités parmi ses clients, dont Madonna, Elton John et Robert DeNiro, a été victime du ransomware REVil. 

Les cyberattaquants ont affirmé avoir utilisé le ransomware REvil ou Sodinokobi pour voler des données personnelles, y compris des contrats de clients, des numéros de téléphone, des adresses email, des correspondances personnelles et des accords de non-divulgation. Les attaquants ont menacé de divulguer les données en neuf publications échelonnées, à moins que des rançons d'un montant total de 21 millions de dollars ne soient payées. Cette demande a été doublée à 42 millions de dollars lorsque le cabinet d'avocats a refusé de payer.

Parmi les célébrités touchées par l'attaque figurent Bruce Springsteen, Lady Gaga, Nicki Minaj, Mariah Carey et Mary J. Blige. Le cabinet d'avocats a déclaré qu'il ne négocierait pas avec les attaquants et a demandé au FBI d'enquêter.

D'autres attaques notables ont eu lieu ce mois-là :

  • L'Université d'État du Michigan a été touchée par le ransomware NetWalker. NetWalker, également connu sous le nom de Mailto, est une souche de ransomware qui a fait ses débuts criminels en août 2019. Dans leur demande, les opérateurs du ransomware ont indiqué que l'université avait une semaine pour payer une rançon en échange de l'accès à leurs fichiers chiffrés. Dans le cas contraire, les attaquants ont déclaré qu'ils divulgueraient les données personnelles et bancaires des étudiants de l'université. L'université a choisi de ne pas payer la rançon, affirmant qu'elle suivait les conseils des forces de l'ordre.

Attaques par ransomware en juin 2020

6. Attaque par ransomware visant Honda

En juin, le géant de l'automobile Honda a subi une attaque par ransomware de type Snake (également connu sous le nom d'Ekans) qui a visé ses bureaux aux États-Unis, en Europe et au Japon. Une fois que l'attaque a été découverte, Honda a suspendu la production sur certains sites pour faire face aux perturbations de son réseau informatique. Les pirates informatiques ont utilisé un ransomware pour accéder à un serveur interne de Honda, le chiffrer et demander une rançon en échange de la clé de chiffrement. Par la suite, Honda a déclaré que les attaquants n'avaient présenté aucune preuve de la perte d'informations personnelles identifiables.

D'autres attaques notables ont eu lieu ce mois-là :

  • Le Columbia College Chicago a été la cible du groupe de ransomware NetWalker, qui a menacé de vendre les données des étudiants sur le Web caché si aucun paiement n'était effectué dans un délai de six jours. L'établissement a reconnu que les informations personnelles de certains utilisateurs avaient été consultées lors de l'attaque, mais on ignore s'il a décidé de payer la rançon ou de négocier avec les attaquants.

Attaques par ransomware en juillet 2020

7. Attaque par ransomware visant Orange

En juillet, la société française de télécommunications et quatrième opérateur mobile d'Europe, Orange, a été victime du ransomware Nefilim. La division des services d'entreprise de la société a fait l'objet d'une violation, et Orange a été ajouté au site du Web caché Nefilim qui détaille les fuites de l'entreprise le 15 juillet. Des échantillons de données qui, selon le groupe Nefilim, ont été exfiltrés de clients d'Orange ont été inclus dans une archive de 339 Mo.

Nefilim est un opérateur de ransomwares relativement récent, découvert en 2020. Orange a déclaré que les données d'une vingtaine de clients de niveau entreprise au sein de sa division des services d'entreprise ont été touchées.

D'autres attaques notables ont eu lieu ce mois-là :

  • La ville de Lafayette, dans le Colorado, a annoncé en août qu'elle avait versé 45 000 dollars à des opérateurs de ransomware après que ses appareils et ses données ont été chiffrés par un ransomware. Le paiement a été effectué en échange d'une clé de déchiffrement après que la ville n'a pas pu restaurer les systèmes à partir de ses sauvegardes. La ville a choisi de payer la rançon pour minimiser les longues interruptions de service pour les résidents. Bien qu'elle n'ait pas précisé le type de ransomware en cause, la ville a indiqué dans sa communication au sujet de la panne que le ransomware avait désactivé les systèmes de réseau de la ville. Cette situation a eu des répercussions sur tout, allant des systèmes de paiement en ligne aux services de messagerie électronique et de téléphonie. On estime que la cause de l'attaque était une escroquerie par phishing ou une attaque potentielle par force brute.

Attaques par ransomware en août 2020

8. Attaque par ransomware visant l'université d'Utah

En août, l'université d'Utah a révélé qu'elle avait payé une rançon de 457 000 dollars à des cybercriminels pour les empêcher de divulguer des fichiers confidentiels volés lors d'une attaque par ransomware. L'attaque a chiffré les serveurs du département College of Social and Behavioral Science Department de l'université. Dans le cadre de cette attaque, les criminels ont volé des données non chiffrées avant de chiffrer les ordinateurs.

Les données volées contenant des informations à propos d'étudiants et d'employés, l'université a décidé de payer la rançon pour éviter qu'elles ne soient divulguées. Elle a également conseillé à tous les étudiants et employés du collège concerné de surveiller leur historique de crédit pour détecter toute activité frauduleuse et de modifier les mots de passe qu'ils utilisent en ligne.

D'autres attaques notables ont eu lieu ce mois-là :

  • La société R1 RCM Inc. a été touchée par une attaque de ransomware. La société, anciennement Accretive Health Inc, est l'une des plus grandes sociétés de recouvrement de créances médicales aux États-Unis. Elle passe des contrats avec plus de 750 organismes de santé américains et traite les données personnelles et médicales de dizaines de millions de patients. R1 RCM Inc. a choisi de ne pas divulguer les détails de la compromission, notamment les systèmes ou les données qui ont pu être touchés. Toutefois, l'attaque aurait utilisé le ransomware Defray, un type de ransomware ciblé qui se propage généralement par le biais d'emails de phishing.

Attaques par ransomware en septembre 2020

9. Attaque par ransomware visant K-Electric

En septembre, K-Electric, l'unique distributeur d'électricité de Karachi, au Pakistan, aurait été la cible d'une attaque par ransomware du groupe NetWalker. Cette situation a entraîné une perturbation de la facturation et des services en ligne de la compagnie d'électricité. 

Les opérateurs du ransomware ont demandé à K-Electric de payer 3,85 millions de dollars, avertissant qu'en cas de non-paiement dans un délai de sept jours, la demande passerait à 7,7 millions de dollars. Netwalker a publié une archive de 8,5 Go de fichiers prétendument volés pendant l'attaque, y compris des données financières et des détails relatifs aux clients.

Le groupe NetWalker avait déjà pris pour cible les bureaux d'immigration en Argentine, diverses agences gouvernementales américaines et l'université de Californie à San Francisco (qui a payé une rançon de plus d'un million de dollars).

K-Electric a reconnu qu'un cyberincident avait eu lieu, mais a déclaré que tous les services clients essentiels étaient entièrement fonctionnels.

D'autres attaques notables ont eu lieu ce mois-là :

  • Le site Web du quatrième District Court de Louisiane a été piraté, et des documents sensibles ont été publiés en ligne à la suite d'une attaque par ransomware. L'agent de l'attaque était Conti, une souche de ransomware relativement nouvelle. Les documents publiés par les pirates informatiques sur leur site sur le Web caché concernaient des témoins, des jurés et des accusés dans des affaires en cours.

Attaques par ransomware en octobre 2020

10. Attaque par ransomware visant Press Trust of India

En octobre, des pirates informatiques ont pénétré dans les serveurs de l'agence de presse Press Trust of India (PTI), paralysant ses services pendant plusieurs heures. Un porte-parole de l'entreprise a décrit l'incident comme une attaque par ransomware massive, qui a perturbé les opérations et la diffusion des informations aux abonnés à travers l'Inde.

Le ransomware identifié était LockBit, un logiciel malveillant conçu pour bloquer l'accès des utilisateurs aux systèmes informatiques et lever le blocage en échange d'une rançon.

D'autres attaques notables ont eu lieu ce mois-là :

  • Software AG, l'une des plus grandes entreprises de logiciels au monde, a été victime d'une attaque du groupe de ransomware Clop qui a exigé plus de 20 millions de dollars. Les négociations ayant échoué, le groupe a publié des captures d'écran des données de l'entreprise sur le Web caché, présentant des copies numérisées de passeports et de pièces d'identité d'employés, des emails d'employés, des documents financiers ainsi que des répertoires du réseau interne de l'entreprise.

Attaques par ransomware en novembre 2020

11. Attaque par ransomware visant la Cour suprême de justice du Brésil

En novembre, la cyberinfrastructure de la Cour suprême de justice du Brésil a subi une attaque massive de ransomwares, qui a contraint son site Web à être mis hors ligne.

Les attaquants du ransomware ont affirmé que l'ensemble de la base de données de la Cour avait été chiffré et que toute tentative de restauration serait vaine. Les pirates informatiques ont laissé une note de rançon demandant à la Cour de les contacter au moyen d'une adresse email ProtonMail. Les pirates informatiques ont également tenté d'attaquer divers autres sites Web liés au gouvernement brésilien.

D'autres attaques notables ont eu lieu ce mois-là :

  • Le Manchester United Football Club a fait les gros titres en dévoilant qu'il avait subi une cyberattaque. Le club a ensuite confirmé qu'il s'agissait d'un ransomware, et a révélé que, bien que l'attaque ait été complexe, il avait mis en place des protocoles et des procédures étendus pour un tel événement, ce qui signifie qu'il était bien préparé. Il maintient ses cyberdéfenses, identifie l'attaque et arrête les systèmes concernés pour limiter les dégâts et protéger les données.

Attaques par ransomware en décembre 2020

12. Attaque par ransomware visant GenRx Pharmacy

En décembre, GenRx Pharmacy, un organisme de soins de santé situé en Arizona, a averti des centaines de milliers de patients d'une éventuelle violation de données à la suite d'une attaque par ransomware plus tôt au cours de l'année. La société a déclaré que des pirates informatiques malveillants ont pu supprimer un certain nombre de fichiers, notamment des informations relatives aux soins de santé que la pharmacie utilisait pour traiter et envoyer les produits prescrits aux patients.

D'autres attaques notables ont eu lieu ce mois-là :

  • Le géant de l'électroménager Whirlpool a subi une attaque par ransomware de la part du groupe Nefilim, qui a volé des données avant de chiffrer les appareils. Les pirates informatiques ont ensuite publié les données volées, qui comprenaient des documents relatifs aux avantages sociaux des employés, aux demandes d'informations médicales et aux vérifications des antécédents.

Les dernières attaques par ransomware sont de plus en plus sélectives dans le choix des cibles et des montants à exiger. L'outil Anti-Ransomware de Kaspersky offre une protection pour les particuliers et les entreprises. Comme pour toute menace de cybersécurité, la clé de la protection est la vigilance.

Articles connexes :

Principales attaques par ransomware

Quelles ont été les principales attaques de ransomware? Nous examinons les attaques de ransomwares les plus récentes. Découvrez les risques et comment vous protéger.
Kaspersky logo