Apple visé dans une attaque de rançongiciel sur Quanta | Les pirates exigent 50 millions de dollars - TechRobot

Apple visé dans une attaque de rançongiciel sur Quanta | Les pirates exigent 50 millions de dollars

Les attaques par rançongiciel sont en augmentation depuis le début de la pandémie en décembre 2019. En fait, plusieurs rapports indiquent qu’à la fin de 2020, les attaques par rançongiciel avaient augmenté d’au moins 150%, et la rançon moyenne demandée a doublé pour atteindre environ 170 000 $. Les acteurs malveillants ciblent généralement les entreprises à fort chiffre d’affaires en raison du potentiel de gros gains. Il est également devenu courant de cibler les grands fabricants de technologie.

Par exemple, en novembre 2020, Foxconn a été ciblé dans une attaque par rançongiciel où les hackers responsables ont supprimé des téraoctets de données de sauvegarde de plus d’un millier de serveurs cryptés. Les attaquants ont demandé 34 millions de dollars avant de libérer les données cryptées. Pour contexte, Foxconn est le plus grand fabricant d’équipements électroniques pour des entreprises comme Amazon, Sony, Microsoft et Apple. Plus tôt ce mois-là, les hackers avaient ciblé un autre fabricant (Compal) avec une attaque par rançongiciel.

Cela montre simplement que les grandes entreprises de fabrication de technologie sont désormais exposées à des attaques de rançongiciels plus sophistiquées. L’attaque la plus récente a eu lieu quelques jours avant la fin d’avril 2021. Quanta, une entreprise basée à Taïwan qui produit des ordinateurs portables pour de grandes entreprises technologiques, y compris Apple, a été victime d’une attaque de rançongiciel qui pourrait coûter 50 millions de dollars à Apple. 

Qu’est-ce que le Ransomware ?

Le ransomware est une forme de malware (logiciel malveillant) qui obtient l’accès à un ordinateur et cible des fichiers ou des systèmes en les chiffrant et en les rendant inaccessibles dans le but de faire payer l’entreprise ou le propriétaire pour leur libération. À partir du mot « rançon », il est facile de comprendre l’objectif final de toutes les attaques par ransomware – faire payer la victime une rançon en échange de la libération du ou des fichier(s) ou système(s) pris en otage. Une fois que la victime paie, les attaquants libèrent une clé de déchiffrement que la victime utilise pour déchiffrer le ou les fichier(s) ou système(s) chiffré(s).

La première forme d’attaque par rançongiciel remonte à aussi loin que 1989. Depuis lors, les entités malveillantes ont utilisé les progrès technologiques pour perpétrer des attaques plus sophistiquées. L’évolution des rançongiciels a vu les acteurs malveillants offrir des services tels que le Ransomware-as-a-Service (RaaS) pour étendre leur réseau et leurs capacités. Les attaques de rançongiciels sur mobiles deviennent également monnaie courante, et avec le taux auquel l’utilisation de la technologie de l’Internet des Objets s’étend, nous sommes destinés à voir de nouvelles attaques. 

Le groupe de hackers REvil cible Apple via Quanta

Le 20 avril 2021, alors qu’Apple dévoilait ses derniers gadgets lors de son événement Spring Loaded, l’un des plus grands fabricants d’ordinateurs portables au monde a été victime d’une attaque de rançongiciel perpétrée par un groupe de hackers russes connu sous le nom de REvil. Quanta fabrique des MacBooks pour Apple, ainsi que d’autres produits. REvil, également connu sous le nom de Sodinokibi, a montré des preuves de son attaque réussie en publiant les schémas des derniers produits d’Apple, y compris le MacBook Air M1 de 2020 déjà sorti et les nouveaux designs d’iMac.

Quelques jours avant les fuites de données, un utilisateur portant le nom d’utilisateur UNKN a laissé entendre sur XSS (un forum de cybercriminalité populaire) qu’une grande annonce était à venir, encourageant les hackers à rejoindre le groupe. Nous pensons que cet utilisateur représente le groupe de rançongiciels REvil chargé d’annoncer de telles nouvelles et de recruter de nouveaux affiliés pour son programme de rançon en tant que service.

Quanta a reconnu que l’attaque s’était produite. Elle a également déclaré que son équipe de sécurité répondait à l’attaque, mais qu’il n’y avait pas d’impact significatif sur son activité commerciale. Dans le communiqué de l’entreprise, Quanta a déclaré : « Nous avons signalé et maintenu des communications continues avec les autorités judiciaires et de protection des données pertinentes concernant les activités anormales récemment observées. Il n’y a pas d’impact matériel sur l’opération commerciale de l’entreprise. » Depuis, elle a amélioré son infrastructure de cybersécurité pour éviter que cela ne se reproduise.

Ces attaquants ont exigé une somme de 50 millions de dollars en échange des images, mais Quanta a refusé de payer, les forçant à s’adresser à l’entreprise la plus précieuse du monde. C’est pourquoi le groupe REvil a publié environ 21 images de schémas de MacBook le même jour que l’événement Spring Loaded d’Apple ; une déclaration qui ne risque pas de passer inaperçue.

Il a également menacé de publier de nouvelles données chaque jour jusqu’à ce qu’Apple paie la rançon et a donné un ultimatum pour le 1er mai. REvil a révélé toutes ces informations via son « Happy Blog », un site qu’il utilise pour partager publiquement ses exploits de piratage. Apple n’a publié aucun communiqué concernant l’attaque et n’a donné aucune indication qu’il paierait la rançon. 

Une histoire du groupe de hackers REvil et de leurs exploits

Sodinokibi, plus connu sous le nom de REvil, a une réputation pour ses attaques par rançongiciel. Les personnes dans le domaine de la sécurité de l’information croient que ce groupe est basé en Russie en raison de sa réticence à attaquer des entreprises russes ou appartenant à l’État. Ils pensent également qu’il est une émanation d’un groupe malveillant précédent–GandCrab. GandCrab était aussi prolifique que REvil l’est actuellement, accumulant environ 2 milliards de dollars de rançons en presque deux ans. À peu près au même moment où GandCrab a cessé ses opérations, REvil a commencé à devenir proéminent.

Contrairement à la plupart des groupes de hackers, REvil opère selon un modèle différent qui lui permet de gagner plus d’argent. Il utilise un modèle de Ransomware-as-a-Service (RaaS) où il octroie des licences pour ses malwares à des affiliés de confiance. Il prend ensuite un pourcentage de la rançon si les affiliés mènent à bien une attaque. REvil utilise également ce que l’on appelle une méthode de double extorsion pour augmenter les chances que ses victimes paient la rançon. Cela signifie qu’après avoir chiffré les données, REvil transfère également ce qu’il peut sur ses serveurs avec une menace de les vendre.

Si une entreprise dispose de sauvegardes, elle pourrait néanmoins devoir payer une rançon si le groupe malveillant a transféré des informations sensibles sur ses serveurs. Il y a aussi la possibilité d’utiliser une attaque DDoS sur la même victime pour augmenter la pression et les forcer à payer la rançon. On commence à se demander pourquoi ce groupe fait tout son possible pour lever des fonds. Est-ce pour financer des attaques plus lucratives ou simplement par pure cupidité ?

Maintenant, examinons certains des attaques répandues que ce groupe a menées dans le passé. 

1. Gouvernements locaux du Texas

Dans les premières heures du 16 août 2019, REvil a attaqué 23 agences gouvernementales locales du Texas et a demandé une rançon de 2,5 millions de dollars. Les personnes travaillant dans ces agences n’avaient plus accès aux fichiers auxquels elles avaient habituellement accès. C’était une attaque coordonnée de REvil qui a mis hors service les systèmes et les sites web des agences. Heureusement, REvil n’a pas attaqué leurs systèmes de sauvegarde, donc elles n’ont pas cédé aux exigences. Après avoir coordonné avec plusieurs équipes de cybersécurité, ces agences ont pu restaurer l’accès aux fichiers et systèmes que le groupe REvil avait pris en otage.

2. Travelex

Travelex est une entreprise qui s’occupe de l’échange de devises étrangères dans le monde entier. Elle est très populaire dans les aéroports car elle facilite le processus d’échange de votre monnaie locale contre une autre monnaie. Le 31 décembre 2019, REvil a obtenu l’accès au réseau de Travelex. Cela s’est produit parce que Travelex utilisait un VPN obsolète et le groupe REvil a profité des vulnérabilités dans le logiciel non patché. Après avoir infiltré leur réseau, REvil a diffusé un rançongiciel qui a mis hors service l’ensemble du réseau de Travelex, exigeant une rançon de 2,3 millions de dollars.

Travelex n’a pas divulgué qu’ils avaient subi une attaque par rançongiciel. Au lieu de cela, ils ont déclaré que leurs systèmes étaient en cours de maintenance. Ensuite, ils ont secrètement payé la rançon et ont restauré l’accès à leur réseau et systèmes. Malheureusement pour eux, la vérité a fini par faire les gros titres, et ils ont perdu la confiance du public. C’est une chose d’être victime d’une attaque en raison de politiques de sécurité désastreuses, mais mentir à vos clients et au public à ce sujet est une faute grave. Jusqu’à ce moment, Travelex fait toujours face aux conséquences de ses actions.

3. Grubman Shire Meiselas & Sacks

En mai 2020, REvil a obtenu l’accès à plus de 750 Go de documents juridiques privés. Grubman Shire Meiselas and Sacks est un cabinet d’avocats représentant plusieurs célébrités, y compris l’ancien président des États-Unis Donald Trump. REvil a initialement fixé une rançon de 21 millions de dollars mais a augmenté le montant après avoir vu les données de Trump. Le cabinet d’avocats a suivi les conseils du FBI de ne pas payer, et REvil a mis aux enchères les données sur le Dark Web.

Conclusion 

L’augmentation des attaques contre les entreprises qui produisent du matériel pour les principales entreprises technologiques devrait être une source de préoccupation. Il est évident que ces entreprises sont ciblées en raison de leurs liens avec les géants de l’industrie technologique. Des attaques comme celles-ci rappellent que les entreprises devraient prendre la cybersécurité aussi sérieusement que possible, car le coût de la mise en place d’une défense appropriée contre les attaques est généralement inférieur au coût de la récupération des actifs.