Assureurs et cyberassureurs attaqués par ransomware

La firme japonaise, Tokio Marine Holdings, a dévoilé lundi 16 août 2021 avoir subi une attaque par code malveillant de type ransomware auprès de sa branche de Singapour. La branche visée est celle du plus important assureur japonais de biens et de risques divers. C’est à minima le troisième grand assureur à annoncer une infection par ransomware au cours des derniers mois, après CNA et AXA. De cette fin d’août, c’est le second cette semaine, avec Ryan Specialty Group — qui vient de lancer une introduction en bourse — à révéler un cyberincident.

La multinationale qui possède une division aux États-Unis et propose un produit de cyberassurance a déclaré ne pas avoir d’indication immédiate que des informations sur ses clients aient été violées. De telles données pourraient être une mine d’or pour les opérateurs malveillants, pour eux-mêmes ou des employeurs possibles, qui pourraient les utiliser à des visées d’extorsion, d’espionnage, de pression… ce en fonction du montant des couvertures des potentielles victimes. Tokio Marine Holdings a annoncé que sa branche de Singapour, Tokio Marine Insurance Singapore (TMiS), a été touchée par une attaque de ransomware. « Nous nous excusons sincèrement pour tout désagrément et toute préoccupation causés à nos clients ou aux parties liées, a déclaré Tokio Marine. Le groupe a pris des mesures de sécurité de l’information jusqu’à présent et s’efforcera de faire des efforts supplémentaires pour garder les informations de nos clients ainsi que nos informations confidentielles protégées. » L’entreprise japonaise a affirmé qu’elle tentait toujours de déterminer l’étendue des dommages et avait engagé un fournisseur externe pour l’aider. La société a déclaré qu’elle avait isolé le réseau affecté et qu’elle avait prévenu les forces de l’ordre locales.

C’est au moins le troisième grand assureur à révéler une attaque par ransomware au cours des derniers mois, après CNA et AXA. Et c’est le deuxième cette semaine, avec Ryan Specialty Group (RSG), après son introduction en bourse, à dévoiler un cyberincident.

Le 21 mars 2021, CNA Financial Corporation (septième compagnie d’assurance commerciale aux États-Unis) souffrait une infection par codes malveillants. Elle avait été ciblée par le ransomware « Phoenix CryptoLocker », qui hors mis d’avoir crypté 15 000 appareils sur le réseau, avait également volé des fichiers contenant des informations sur les clients. L’assureur américain révélait dans une déclaration que « l’ANC a déterminé qu’elle avait subi une offensive de cybersécurité sophistiquée. L’attaque a provoqué une perturbation du réseau et a eu un impact sur certains systèmes de l’ANC, y compris le courrier électronique de l’entreprise ». Une source avait divulgué à BleepingComputer que Phoenix Locker serait une nouvelle famille de ransomware publiée par Evil Corp, en raison de similitudes dans le code, rédigeait Lawrence Abrams, dans son article.

Quasiment un mois, jour pour jour, le 16 mai 2021, les succursales du géant AXA basées en Thaïlande, en Malaisie, à Hong Kong et aux Philippines ont été frappées. « Vous pouvez nous féliciter pour l’attaque réussie de l’entreprise, nous avons crypté AXA Asia dans les pays suivants : Thaïlande (Krungthai-AXA), Philippine AXA investment, Hong Kong et Malaisie », se congratulaient les opérateurs. Ils revendiquaient posséder 3 To de données d’ordre médical (Antécédents, y compris des comptes rendus sur le VIH, l’hépatite, les MST et d’autres maladies), les réclamations des clients, les paiements aux clients, toutes les pièces d’identité des clients, comptes bancaires et tous les documents scannés des clients…

Vos opérateurs ciblent-ils les organisations qui ont une cyber-assurance ? Oui, c’est l’un des morceaux les plus savoureux.

REvil

L’attrait pour les compagnies d’assurance a été expliqué par un représentant des opérateurs du ransomware « REvil » dans une interview accordée à Dmitry Smilyanets, analyste du renseignement chez Recorded Future : « Oui, c’est l’un des morceaux les plus savoureux. Il faut surtout commencer par pirater les assureurs pour obtenir leur base de clients et travailler de manière ciblée à partir de là. Et après avoir parcouru la liste, il faut attaquer l’assureur lui-même ». Ces derniers temps, les cyberassureurs ont entamé une série de questions plus détaillées sur les mesures de protection en matière de cybersécurité des assurés avant de leur octroyer une couverture. Mais la succession d’attaques réussies récentes suggère que les compagnies pourraient elles aussi devoir renforcer leurs défenses.

La société de courtage nouvellement cotée en bourse RSG a fait état, lundi 16 août 2021, d’un incident de sécurité des données survenu aux alentours du 17 avril 2021. Elle a pris connaissance d’une « activité inhabituelle » liée à certains comptes de messagerie de salariés et diligentait une enquête qui s’est achevée le 30 juin 2021. L’entreprise déterminait que certaines boites mail d’employés avaient été lues sans permission entre le 4 et le 20 avril 2021. Il a été montré que certaines informations propres concernant un nombre limité de personnes étaient accessibles, mais pas nécessairement consultées par des individus non autorisés.

Les informations accessibles comprenaient les :

• noms
• numéros de permis de conduire
• numéros de sécurité sociale
• informations sur les comptes financiers
• numéros de passeport
• informations médicales
• informations sur l’assurance maladie
• numéros d’identification délivrés par le gouvernement
• numéros d’identification fiscale
• noms d’utilisateur, email et mots de passe
• dates de naissance de certaines personnes

L’annonce intervient quelques semaines seulement après que RSG ait fait ses débuts en tant que société publique. Les actions de Ryan Specialty Group Holdings Inc. ont augmenté de 9 % à la Bourse de New York le 23 juillet dernier, ce qui a donné une capitalisation boursière de 6,5 milliards de dollars à l’entreprise de courtage d’assurance fondée et dirigée par le vétéran de l’industrie Patrick Ryan. Il n’est pas le seul courtier d’assurance à signaler des incidents de données. L’automne dernier, le courtier Arthur J. Gallagher a fait état d’une attaque par ransomware survenue entre le 3 juin 2020 et le 26 septembre 2020. Depuis, il fait face à une poursuite judiciaire (suite à l’infection par ransomware survenue entre le 3 juin 2020 et le 26 septembre 2020), principalement par deux anciens employés (Jason Myers, de Californie, et John Parsons, de Louisiane). Les plaignants allèguent que Gallagher n’a pas respecté les normes gouvernementales fédérales et étatiques ainsi que les normes de l’industrie pour protéger leurs informations personnelles. Ils affirment qu’eux-mêmes, des clients et d’autres salariés de Gallagher ont subi des préjudices, ont engagé des frais et sont confrontés à la perspective d’un « risque actuel et imminent de vol d’identité à vie ».

La société incriminée a déclaré qu’elle avisait les individus potentiellement concernés et offrait gratuitement des services de surveillance du crédit et de protection de l’identité pendant 24 mois par l’intermédiaire d’Experian à ceux dont les informations intimes étaient accessibles dans les comptes de messagerie au moment de l’incident. Ce qui, selon les requérants, est « totalement inadéquat ». Ils réclament des dommages-intérêts compensatoires, statutaires, nominaux et punitifs, des frais de justice et des services de surveillance du crédit, mais pas seulement. Les plaignants demandent au tribunal d’ordonner à Gallagher de faire tester régulièrement la sécurité de son réseau par des tiers, d’améliorer la formation de son personnel de sécurité et d’acheter ou de financer des services de surveillance du crédit pour ses clients.