Les 5 attaques de type ransomware les plus dévastatrices de 2021 (et l'année n'est pas finie...)

Les attaques de type ransomware les plus dévastatrices de 2021

En 2021, le volume des attaques de type ransomware a augmenté de 150% par rapport à 2020 et, selon le FBI, 100 différents types de ransomware étaient en circulation à la mi-2021. La taille des attaques varie, allant de petites attaques très ciblées à des attaques massives et généralisées. Les sénateurs Dick Durbin et Chuck Grassley ont informé le Sénat américain en juillet 2021 que 50 à 75% de toutes les attaques de type ransomware sont menées contre des petites entreprises. La plupart ne sont pas signalées, c'est pourquoi ce sont surtout les attaques de plus grande ampleur qui nous permettent d'en apprendre plus sur ce phénomène, comme l'attaque qui a visé SolarWinds et touché des centaines d'entreprises.

Un ransomware est un code logiciel conçu pour verrouiller (ou bloquer l'accès à) un système informatique, un réseau, des fichiers et/ou des données jusqu'à ce que la victime paie une somme d'argent déterminée : la rançon.

Depuis le début de l'année 2021, les attaques de ransomware dévastatrices et de grande ampleur n'ont pas manqué. Nous avons retenu les cinq plus significatives au regard de leur importance pour la sécurité de la société à l'aube de l'année 2022. À cet égard, ce n'est pas parce qu'une attaque a entraîné le paiement d'une rançon massive qu'elle est dévastatrice ou potentiellement dévastatrice pour la société.

Les 5 attaques de ransomware les plus dévastatrices en 2021 au 1er novembre

1. Attaque de DarkSide contre Colonial Pipeline Company

La Colonial Pipeline Company a appris début mai qu'elle avait été victime d'une attaque de type ransomware, ce qui a rapidement perturbé l'approvisionnement en carburant d'une grande partie du sud-est des États-Unis, avec une propagation possible jusqu'à New York. L'attaque de type ransomware de Colonial Pipeline a été, de loin, l'attaque la plus médiatisée de 2021. Ce n'est pas étonnant : la voiture occupe une place centrale dans la société américaine et les Américains ont besoin de carburant. Colonial fournit 50% du carburant de la côte est.

Ce qui a rendu l'attaque particulièrement dangereuse, c'est la réaction des consommateurs. Les gens ont paniqué et ont acheté autant d'essence qu'ils pouvaient en stocker. De plus, certaines personnes l'ont stockée dans des récipients dangereux, comme des bacs et des sacs en plastique, qui peuvent s'enflammer lorsqu'ils contiennent du carburant.

Les articles faisant état de la méthode utilisée pour cette attaque étaient déconcertants : elle n'avait rien de très sophistiqué. Colonial n'avait pas mis en place les mesures de sécurité appropriées, telles que l'authentification multifactorielle (MFA). Les attaquants ont pu pénétrer assez facilement dans le VPN de l'entreprise. Il leur a suffi d'essayer différents mots de passe pour y accéder.

Les groupes de pirates informatiques sont encouragés par la facilité avec laquelle une partie aussi vitale de l'infrastructure nationale a été piratée. Ils pensent maintenant qu'ils ont les moyens de mettre hors service d'autres infrastructures critiques sans trop d'efforts en 2022.

Rançon payée : 4,4 millions de dollars

2. Attaque de REvil visant JBS USA

Plus tard en mai, JBS, le plus grand fournisseur de viande bovine au monde, a été victime d'une attaque de type ransomware provenant du groupe REvil. La division américaine de l'entreprise, JBS USA, a dû interrompre complètement ses activités à cause de ce piratage. Il va sans dire que le bœuf a disparu des rayons de nombreux magasins aux États-Unis, le piratage ayant affecté la chaîne d'approvisionnement qui partait de JBS USA.

Cet incident souligne à quel point la chaîne d'approvisionnement alimentaire américaine est vulnérable à une attaque beaucoup plus large et plus agressive. On peut imaginer qu'un piratage coordonné, bénéficiant de l'appui d'un gouvernement et attaquant de manière simultanée plusieurs grands fournisseurs alimentaires pourrait provoquer des pénuries alimentaires massives dans tout le pays.

Bien que JBS ait déclaré que ses « systèmes informatiques robustes et ses serveurs de sauvegarde cryptés » ont contribué à assurer une reprise rapide, cela ne semblait pas totalement expliquer la reprise. Plus tard en juin, l'entreprise a révélé avoir en fait payé une rançon importante pour éviter la mise en péril des données de l'entreprise, des clients et des employés.

Rançon payée : 11 millions de dollars

3. Attaque inconnue de ransomware visant les écoles publiques de Buffalo

Le 12 mars, une attaque de type ransomware (par des criminels inconnus) a touché le système scolaire public de Buffalo, dans l'État de New York. Ce système accueille actuellement 34 000 élèves. Si le directeur des écoles de Buffalo a minimisé l'impact de l'attaque, une enquête a permis de déterminer que les documents manquants comprenaient des décennies de matériel pédagogique, des dossiers d'élèves et quelque 5000 demandes d'admission dans les écoles en septembre. En outre, des systèmes essentiels au fonctionnement du district, dont des services juridiques et comptables, ont été paralysés, selon les informations publiées et une vidéo de WGRZ sur le sujet.

Cet incident met en évidence les conditions inquiétantes que connaissent beaucoup trop d'établissements scolaires à travers le pays. Les écoles manquent tout simplement de personnel en matière de sécurité informatique, en particulier de cybersécurité. En août 2021, elles représentaient plus de la moitié du volume des cyberattaques.

Rançon payée : inconnue

4. Attaque d'Evil Corp visant CNA Financial

Le 21 mars, CNA Financial, l'une des plus grandes compagnies d'assurance des États-Unis, a été frappée par une attaque de type ransomware qui a provoqué une importante perturbation du réseau. Après six semaines, le réseau de la compagnie n'était toujours pas entièrement opérationnel, même si les dirigeants de la société ont affirmé dans une déclaration avoir pris « des mesures immédiates en déconnectant de manière proactive [ses] systèmes » du réseau CNA.

Ce qui est le plus troublant dans cet incident, c'est que CNA disposait d'un environnement de sécurité plus sophistiqué que celui de la plupart des entreprises. Pourtant, la compagnie a quand même été piratée. Ironiquement, elle propose une cyberassurance parmi ses services. Cet incident révèle également la menace croissante qui pèse sur les activités d'accès à distance. Dans le cas de CNA, les pirates ont crypté 15 000 appareils, dont les ordinateurs de nombreux employés travaillant à distance.

Nous ne sommes pas 100% certains qu'Evil Corp soit à l'origine de l'attaque. Cependant, les pirates ont utilisé un logiciel malveillant appelé Phoenix Locker, qui est le logiciel de ransomware d'Evil Corp, appelé « Hades ». Basée en Russie, l'organisation Evil Corp n'est pas soumise aux sanctions américaines et CNA a déclaré que les pirates l'ayant attaquée n'étaient pas soumis aux sanctions américaines.

Rançon payée : 40 millions de dollars

5. Attaque de Wizard Spider visant le système de santé public d'Irlande

Le 14 mai, le système de santé public irlandais (Health Service Executive, HSE) a dû mettre à l'arrêt tous ses systèmes informatiques pour éviter la propagation d'un logiciel malveillant. Malheureusement, celui-ci s'était déjà infiltré dans certaines parties de son réseau lors de l'attaque par ransomware. Il a fallu attendre le 30 juin pour que HSE rétablisse les systèmes d'enregistrement en ligne des cartes d'assuré.

Les pirates ont accédé aux informations des patients et du personnel et ont divulgué des données sur les 100 000 employés et les millions de patients du HSE. Il semble que des dossiers médicaux, des notes et des historiques de traitement fassent partie des données compromises. Selon une déclaration publiée par le HSE, les pirates russophones ont laissé une partie des données compromises apparaître sur le « dark web » et des personnes en ont été affectées. Dans son dernier communiqué de juillet sur cet incident de cybersécurité, le HSE a déclaré que les services de santé étaient toujours gravement touchés par l'attaque.

Il va sans dire que l'impact sociétal des violations d'un système de santé est énorme, tant en termes d'informations compromises que de psyché nationale. Comment vivre avec l'idée qu'un groupe étranger hostile connaît tout de vos antécédents médicaux et pourrait les exposer ouvertement à la vue de tous ?

Malgré la gravité de cette violation, HSE a déclaré de manière catégorique qu'elle ne paierait pas de rançon.

Comment Splashtop peut-elle vous aider à éviter les attaques de ransomware ?

De nombreuses entreprises se tournent vers des VPN et RDP pour le travail à distance, ce qui peut exposer leurs activités à des cybermenaces croissantes. Ces dernières années, Gartner et de nombreux experts en sécurité ont recommandé aux entreprises de ne plus recourir à un accès VPN, qui opère au niveau du réseau. Ils suggèrent plutôt d'opter pour des solutions d'accès à distance basées sur l'identité qui opèrent au niveau des applications et reposent sur un modèle de sécurité Zero Trust.

Splashtop fournit une solution d'accès à distance sécurisé et native du cloud qui protège votre réseau contre les pirates. Comment c'est possible ? Notre solution ne laisse jamais personne s'introduire dans votre réseau. C'est notre recette secrète.

Splashtop surveille en permanence les dernières cybermenaces. Nous nous engageons à protéger nos clients. Pour ce faire, nous avons formé un conseil consultatif de sécurité et lancé un fil de sécurité pour aider les professionnels de l'informatique et les MSP à rester au fait des dernières vulnérabilités.

Restez au courant des dernières nouvelles en matière de sécurité sur le fil de sécurité de Splashtop.


Contenu sur le même thème :

Bannière d'essai gratuit sur le fond du blog