Recevez chaque jour toute l'actualité du numérique

x

Le géant allemand du logiciel Software AG attaqué par le ransomware Clop

Vu ailleurs Hack of the week L'entreprise allemande Software AG a dû fermer ses services internes pour éviter la propagation du rançongiciel Clop, connu pour avoir attaqué le CHU de Rouen. Un vol et une fuite de données sont à déclarer pour cet éditeur de logiciels qui compte plus de 10 000 clients à l'international, dont Fujitsu, DHL et Airbus.
Twitter Facebook Linkedin Flipboard Email
×

Le géant allemand du logiciel Software AG attaqué par le ransomware Clop
Le géant allemand du logiciel Software AG attaqué par le ransomware Clop © Microsoft

L'éditeur allemand de logiciels de gestion de données Software AG a été victime d'une attaque par ransomware, révèle ZDNet le 12 octobre. Pour lutter contre la propagation du malware, l'entreprise a été contrainte de fermer ses services internes, mais cette mesure n'a pas suffi à empêcher un vol de données dont l'ampleur n'a pas été précisée. 

Une rançon de 23 millions de dollars
Mais ce n'est pas tout. Les hackers réclament désormais le paiement d'une rançon de 23 millions de dollars pour fournir la clé de déchiffrement. Ils ont commencé à publier des captures d'écran de données sensibles sur le dark web, telles que des documents financiers, des passeports, des cartes d'identité, le répertoire du réseau interne de l'entreprise…

Cette fuite de donnnées est d'autant plus embêtante qu'AG Software est un éditeur de logiciel très important avec plus de 10 000 clients répartis dans 70 pays, dont Fujitsu, Telefonica, Vodafone, DHL et Airbus.

Un incident rattaché au groupe TA505
Le rançongiciel Clop serait à l'œuvre. Rattaché au groupe cybercriminel TA505, il est majoritairement distribué au travers de campagnes d'hameçonnage massives visant les secteurs de la finance, distribution, aviation, santé et les institutions gouvernementales.

Afin d’entraver les actions des équipes de sécurité informatique de la victime, le rançongiciel est souvent déployé en début ou veille de week-end et comporte une fonction de suppression des copies cachés Window, d'après un rapport de l'Agence nationale de la sécurité des systèmes d'information (Anssi) publié en 2019.

C'est ce malware qui était à l'origine de la cyberattaque subi par le Centre universitaire hospitalier (CHU) de Rouen en novembre 2019. Cet incident avait exigé l'arrêt de l'ensemble des systèmes informatiques, sans pour autant mettre en péril la vie des patients.

L'Anssi livre ses recommandations
Pour détecter ce type d'attaque, l'Anssi préconise de réduire le nombre de comptes administrateurs et de vérifier le comportement de ces comptes, car les actions de propagation de Clop au sein du SI sont réalisées manuellement et à l’aide de comptes administrateurs de domaine.

De plus, afin de s’assurer que la machine sur lequel il se trouve n’a pas déjà été chiffrée, le rançongiciel Clop vérifie la présence d’un "mutex" (technique de programmation pour éviter que des ressources partagées soient utilisées en même temps) sur celle-ci et ne s’exécutera pas s’il est présent. Il peut être utile pour une victime, dont le système d’information est en cours de chiffrement, d’exécuter un script de création de ce mutex sur les machines encore saines. "Pour autant, il s’agit d’une manœuvre de dernier recours", précise le gendarme de la cybersécurité.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media