jeudi, février 29, 2024
International

La société italienne Advanced Systems attaquée par le cybergang Phobos

Le 27 décembre 2022, la société italienne Advanced Systems subissait une attaque par ransomware du cybergang Phobos. Peu de temps avant, c’est la commune de Sarno, au sud-est de Naples qui était touché par une cyberattaque. Red Hot Cyber rapporte la similitude entre les modes de fonctionnement. Le ransomware Phobos fait son apparition en 2018 et menace les serveurs des entreprises. Il use des protocoles de bureau à distance mal configurés. Il tient son nom du dieu grec de la peur, sa structure est comparable à Crysis et Dharma.

La commune de Sarno est victime d’une attaque de dernière génération relate la compagnie Advanced Systems spa, qui gère le système informatique du Palazzo di Città. L’affection de certains serveurs de l’entreprise est avérée, indique la société dans son communiqué. L’incident signalé aux forces de l’ordre, les procédures requises par le protocole de sécurité interne ont été engagés. « Une task force d’experts a été constituée, qui, avec l’aide de l’entreprise Swascan srl de Tinetxta spa, leader du marché des services GDPR, analyse l’incident, vérifie les serveurs et prépare les actions nécessaires pour rétablir la fonctionnalité normale des applications fournies. »

Explication du phishing

Le 29 décembre 2022, la société Advanced Systems avait remis en fonctionnement les services concernés. Cependant certaines opérations se déroulent encore. Si le confinement des systèmes infectés est réalisé, l’identification est en cours. C’est le cas pour l’analyse des journaux « d’après les premiers éléments, il n’y a aucune preuve d’exfiltration. »

Le ransomware Phobos

Les cybermalfaiteurs se servent de deux vecteurs d’attaques. Le premier à travers les campagnes de phishing, les personnes usant de ces lignes de codes volent des informations sur les comptes et les mots de passe, ou incite la cible à ouvrir une pièce jointe malveillante. Mais également en obtenant un accès direct à l’aide du protocole de bureau à distance (RDP). Le port spécifique visé par le ransomware est le port 3389, relate Avast. Des botnets scannent les systèmes qui ont gardé ce port ouvert. Ensuite, l’occasion est donnée aux cybercriminels de deviner les identifiants de connexion en utilisant un moyen comme l’attaque par force brute. La suite est documentée de nombreuses fois par les entreprises, hôpitaux, universités, en France, aux États-Unis … partout sur terre.

Romuald Pena

Journaliste et curieux de nature, j’aime les mots et ce qu’ils chantent aux oreilles qui les entendent. « La vérité, c’est qu’il n’y a pas de vérité », assurait Pablo Neruda. Ainsi j’apporte des faits, des faits, encore et toujours des faits, car : « Nous ne pouvons être condamnés à pire, à juger les autres, à être des juges. » (Le Testament d’Orphée, de Jean Cocteau)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *