Atlantic.Net fournit cet avis de sécurité sous la forme d'un article d'actualité ; nous voulons rassurer nos clients sur le fait qu'Atlantic.Net n'utilise aucun de ces produits concernés par cet exploit en interne ou dans aucune de nos offres de services.
Au cours des derniers jours, des rapports ont fait état de ce qui pourrait s'avérer être la plus grande demande de ransomware de l'histoire. La victime signalée est Acer Inc., le géant technologique multinational taïwanais célèbre pour la fabrication de matériel informatique professionnel et personnel, notamment des ordinateurs portables, des ordinateurs, des tablettes et des écrans visuels.
La nouvelle a commencé à tomber le 19 mars 2020 par le site Web de technologie et de sécurité Bleeping Computer. Le groupe de piratage REvil a demandé une rançon de 50 millions de dollars à Acer après ce qu'ils prétendent être une violation de données réussie et une attaque de ransomware.
On pense que REvil (anciennement connu sous le nom de Sodinokibi) est une opération de ransomware en tant que service basée en Russie. Ils ont déjà ciblé avec succès le siège britannique du géant automobile Honda et le cabinet d'avocats américain Grubman Shire Meiselas &Sack. La violation de Grubman a fait l'actualité internationale car ils représentaient de nombreuses personnes célèbres, dont Madonna, Lady Gaga, Donald Trump et Lebron James.
Dans le cadre de la violation de Grubman, des documents juridiques ont été divulgués dans le cadre de l'extorsion, mais ils n'ont raisonnablement jamais payé la rançon (contrairement à la société britannique de devises de voyage Travelex qui aurait payé REvil plus de 2,3 millions de dollars).
Que savons-nous de la violation d'Acer ?
Au moment de la rédaction de cet article, il n'y a eu aucune déclaration officielle d'Acer Inc. Si l'on en croit les rapports, seul le système de messagerie de back-office était ciblé sur Acer et aucun environnement de production n'a été compromis. Cependant, REvil a donné à Acer 9 jours pour payer une prime de 50 millions de dollars; il s'agit de la rançon la plus élevée jamais signalée, et le groupe a publié des "preuves" de la violation réussie sur son site Web TOR caché.
Malgré l'augmentation des services cloud Exchange Online et Microsoft 365, un grand nombre d'entreprises exploitent toujours des batteries de serveurs Microsoft Exchange sur site, et on pense que la violation a peut-être profité d'une vulnérabilité Microsoft Exchange récemment découverte. En raison de la nature même de la méthode de livraison des e-mails Exchange, au moins une partie de l'infrastructure réseau doit être exposée à l'Internet public, généralement sous la forme d'une DMZ ou d'un proxy de périmètre. Par conséquent, toute vulnérabilité peut potentiellement exposer une entreprise à des acteurs malveillants.
Le 2 mars 2021, Microsoft s'est efforcé de corriger une "vulnérabilité d'exécution de code à distance de Microsoft Exchange Server" documentée dans CVE-2021-26855. Le bulletin de sécurité indique qu'Exchange 2013, 2016 ou 2019 était vulnérable lorsqu'il s'exécutait sur Windows Server 2008 R2, Server 2012, Server 2012 R2, Server 2016 et Server 2019.
Microsoft a ensuite publié un outil de correction sur GitHub pour les administrateurs système. L'outil analyse l'environnement pour voir si l'infrastructure est vulnérable. Si l'analyse confirme que le système est vulnérable, les mises à jour de sécurité sont installées.
Quelle est la prochaine étape ?
À moins qu'Acer Inc. ne devienne publique, nous ne connaîtrons peut-être jamais l'étendue réelle de la violation, mais pour exiger 50 millions de dollars, beaucoup s'attendent à ce que le groupe de piratage ait des données précieuses sur l'entreprise. Si ce n'est pas le cas, les pirates sont simplement optimistes dans le but d'extorquer de l'argent.
Acer étant discret, c'est vraiment un cas de "wait and see". Ont-ils payé la rançon ? Ont-ils même été piratés ? À vrai dire, personne ne le sait encore, et bien que certaines preuves suggérées aient été publiées, il n'y a aucun moyen de valider si elles sont authentiques.
Si votre entreprise est préoccupée par la cybersécurité, n'hésitez pas à contacter Atlantic.Net. Nous sommes des spécialistes des services gérés, de l'hébergement cloud et de la conformité HIPAA. La sécurité de notre infrastructure est d'une importance primordiale, et nous travaillons dur pour nous assurer que nous avons les meilleurs processus de sécurité en place.
Il ne fait aucun doute que cette cyberattaque restera dans l'histoire, et nous sommes inquiets pour nos amis de l'industrie qui pourraient être touchés par cela. Atlantic.Net dispose d'une suite complète de services de sécurité gérés, pour vous aider à être proactif et à vous préparer à l'avance à tout problème de sécurité. Contactez-nous dès aujourd'hui.