La société mère de MétéoMédia affirme qu’elle n’a pas cédé aux demandes d’un groupe de rançongiciel après que la société qui fournit des services météorologiques au Canada et en Espagne eut vu ses serveurs cryptés et ses données volées et mises en ligne le mois dernier.
« Vous devez savoir que nous n’avons pas cédé aux demandes de rançon », a déclaré mardi Nana Banerjee, PDG de Pelmorex, dans un communiqué. « Au lieu de cela, nous comptions sur l’esprit d’entreprise et le dévouement de nos collaborateurs, ainsi que sur la compréhension, la patience et les encouragements de nos utilisateurs et de notre public pour surmonter la situation. »
« Notre équipe d’ingénieurs travaille dur pour corriger quelques petits problèmes restants et introduire de nouvelles fonctionnalités intéressantes, qui devraient être dévoilées au cours des prochaines semaines. »
Pelmorex gère les plateformes anglophones The Weather Network, francophone MétéoMédia et hispanophone ElTiempo.es.
Le 11 septembre, l’entreprise a été « impactée par un incident de cybersécurité lié à un fournisseur de logiciels tiers », avait-elle déclaré dans un communiqué à l’époque. Plus tard, elle a reconnu qu’il s’agissait d’une attaque de rançongiciel. Le 22 septembre, le gang de rançongiciel LockBit a répertorié Pelmorex parmi ses victimes, affirmant qu’il avait téléchargé « de nombreuses bases de données ». Il donnait à l’entreprise jusqu’au 24 septembre pour payer une rançon, faute de quoi les données volées seraient rendues publiques.
Karen Kheder, directrice des communications et de l’administration de Pelmorex, a déclaré au Globe and Mail que les seules données volées publiées par le gang étaient des informations accessibles au public telles que des alertes météorologiques et des prévisions archivées.
Des organisations du monde entier sont touchées par des rançongiciels à un rythme record cette année et paient souvent parce qu’elles ne sont pas préparées. Selon un sondage auprès de 500 gestionnaires canadiens responsables de la sécurité informatique récemment publié, 70 pour cent des répondants dont l’entreprise a été touchée par un rançongiciel au cours des 12 derniers mois ont payé pour avoir accès à leurs données.
Parmi les victimes récentes :
- La Société philippine d’assurance maladie (PhilHealth), frappée le 22 septembre. Mardi, un responsable gouvernemental a déclaré que les attaquants avaient commencé à divulguer des données, y compris des détails sur les employés, après avoir échoué à obtenir une rançon du gouvernement.
- Motel One, l’une des plus grandes chaînes hôtelières d’Europe
Pendant ce temps, la société suisse de cybersécurité Prodaft a averti que les gangs de rançongiciel commençaient à exploiter une vulnérabilité récemment découverte dans les serveurs exécutant TeamCity de JetBrains, un outil d’intégration et de déploiement continu utilisé par les développeurs. La vulnérabilité, CVE-2023-42793, permet à des attaquants non authentifiés d’exécuter du code arbitraire sur le serveur TeamCity selon des chercheurs de SonarSource.
Le nombre d’attaques réussies aux États-Unis est si préoccupant que la semaine dernière, le FBI a publié une notification au secteur privé exhortant les organisations à renforcer leurs contrôles de sécurité informatique.
Parmi les nouvelles tendances repérées par l’agence : De multiples attaques de rançongiciel rapprochées dans le temps sur une même victime. Lors de ces attaques, deux variantes différentes de rançongiciel sont déployées. « Cette utilisation de deux variantes de rançongiciel a entraîné une combinaison de cryptage de données, d’exfiltration et de pertes financières liées au paiement de rançons », indique l’avis du FBI. « Une deuxième attaque de rançongiciel contre un système déjà compromis pourrait nuire considérablement aux entités victimes. »
Au cours des 18 derniers mois, plusieurs gangs de rançongiciel ont accru leur recours au vol de données personnalisé, aux outils de nettoyage et aux logiciels malveillants pour faire pression sur les victimes afin qu’elles négocient, ajoute l’avis. Dans certains cas, du nouveau code a été ajouté aux outils de vol de données connus pour empêcher la détection. Dans d’autres cas, les logiciels malveillants contenant des effaceurs de données restaient inactifs dans un système informatique jusqu’à une heure définie, puis étaient exécutés pour corrompre les données à intervalles alternés.
Le FBI exhorte les équipes informatiques à :
- S’assurer que les sauvegardes de données sont cryptées et ne peuvent pas être falsifiées afin d’être protégé contre le vol.
- Examiner la posture de sécurité des fournisseurs tiers.
- Limiter l’accès aux données aux seuls employés qui en ont besoin.
- Exiger que tous les comptes avec connexion par mot de passe disposent d’une authentification multifacteur résistante à l’hameçonnage.
- Segmenter les réseaux pour empêcher la propagation des rançongiciels.
- Corriger les applications dès que les mises à jour de sécurité sont publiées.
Adaptation et traduction française par Renaud Larue-Langlois.
