Advantech, fabricant de puces pour l’automatisation industrielle et l’IoT (IoT industriel), a confirmé une attaque avec demande de rançon qui a touché son réseau et a conduit au vol de documents confidentiels, bien que de faible valeur, de l’entreprise.
BleepingComputer a également pu confirmer que c’est le gang Conti qui a attaqué les systèmes d’Advantech et qui demande maintenant une rançon de 14 millions de dollars pour décrypter les systèmes concernés et empêcher la fuite de données d’entreprise volées.
Advantech est l’un des principaux fabricants mondiaux de produits et de solutions informatiques, notamment de PC embarqués, de périphériques réseau, d’IoT, de serveurs et de solutions de santé, avec un effectif de plus de 8 000 personnes dans 92 grandes villes du monde.
La société est le leader mondial de l’informatique industrielle avec une part de marché de 34 % en 2018 et elle a déclaré un chiffre d’affaires annuel de plus de 1,7 milliard de dollars en 2019.
La rançon est fixée à 750 Bitcoins
Les opérateurs Conti à l’origine de l’attaque du réseau Advantech ont fixé une rançon de 750 BTC (environ 12 600 000 dollars au taux de change actuel) pour le décryptage complet des données et la suppression des données volées de leurs serveurs selon un chat vu.
Conti a également déclaré qu’ils sont prêts à décrypter deux des fichiers cryptés avant que la rançon ne soit payée, comme preuve que leur décrypteur fonctionne.
Les opérateurs du ransomware ont ajouté le 21 novembre 2020 qu’ils divulgueraient une partie des données volées s’il n’y avait pas de réponse de la société dans le jour suivant.
Le 26 novembre, le groupe a commencé à publier les données d’Advantech sur leur site d’une fuite de données par ransomware sous la forme d’une archive de 3,03 Go avec 2 % des données volées et d’un document texte avec une liste de fichiers inclus dans l’archive ZIP.
Le gang des ransomwares a également déclaré que si la rançon est payée, ils supprimeront immédiatement toutes les portes dérobées déployées sur le réseau de l’entreprise et fourniront des conseils de sécurité sur la manière de sécuriser le réseau pour bloquer les futures violations.
Ils ont également déclaré que toute donnée volée serait supprimée une fois le paiement effectué. Malgré leurs promesses, les recherches menées par la société de négociation de rançon Coveware ont montré que certaines opérations de rançon ne suppriment pas réellement les fichiers supprimés après le paiement de la rançon.
Bien que la société n’ait pas fait de déclaration publique concernant l’attaque de ses systèmes par le logiciel de rançon, BleepingComputer a pu obtenir une copie de la note de rançon que les opérateurs Conti ont déployée sur les systèmes cryptés d’Advantech.
Un porte-parole d’Advantech a confirmé l’attaque au moyen d’un ransomware et que des données avaient été volées dans les systèmes de la société, mais n’a pas commenté les demandes de rançon de Conti.
Advantech, un leader mondial de l’IoT industriel, a mis en place des contre-mesures contre les récentes cyber-attaques malveillantes. « Nous avons activé et mis à jour nos mécanismes de sécurité et de protection des informations, et notre situation actuelle est détaillée ci-dessous :
– Certaines données peuvent avoir été volées par des pirates informatiques en raison d’un petit nombre de serveurs d’Advantech qui ont été attaqués. Selon notre évaluation interne des risques, les données volées étaient confidentielles mais ne contenaient que des documents de faible valeur.
– Le serveur OA attaqué s’est progressivement rétabli et les systèmes d’exploitation importants fonctionnent tous normalement.
– Dans le même temps, Advantech a également procédé à la préservation des données et à des mises à jour des systèmes liés à la sécurité des informations des clients et des systèmes d’exploitation.
– Certains médias ont rapporté qu’Advantech a fait l’objet de chantage, ce qui est conforme à l’objectif de la plupart des cyberattaques générales. Advantech ne fera pas de commentaires à ce sujet. »
« Tout en résolvant cet incident, Advantech a introduit de nouvelles mesures de détection, de protection et de réponse dans ses stratégies de cybersécurité afin de réduire les risques d’attaques futures. Nous espérons que nos collègues, partenaires et clients du monde entier resteront patients pendant la période de reprise, afin de surmonter ce revers majeur de la cyberattaque. »
Le ransomware Conti
Le ransomware Conti a été repéré pour la première fois lors d’attaques isolées fin décembre 2019, avec une reprise des attaques en juin 2020.
Ce logiciel partage son code avec le tristement célèbre Ryuk Ransomware et a commencé à être distribué par le biais de reverse Shells (1) ouvertes par le cheval de Troie TrickBot après le ralentissement des activités de Ryuk en juillet 2020.
Les opérateurs Conti pénètrent dans les réseaux d’entreprises et se répandent latéralement jusqu’à ce qu’ils aient accès aux informations d’identification des administrateurs de domaines qui leur permettent de déployer les charges utiles du logiciel de rançon utilisé pour crypter les appareils.
Fonctionnant comme un Ransomware-as-a-Service (RaaS) privé qui recrute des pirates informatiques expérimentés pour déployer le logiciel en échange d’importantes rançons, Conti a ouvert son propre site de fuite de données avec vingt-six victimes en août 2020.
- Le reverse shell – appelé aussi reverse tunnel – est une technique informatique qui permet de rediriger sur un ordinateur local l’entrée et la sortie d’un shell vers un ordinateur distant, au travers d’un service capable d’interagir entre les deux ordinateurs
