L’agence pour l’emploi espagnole cyberattaquée, est hors service

Le Service public de l’emploi de l’État (SEPE) a subi hier matin, 9 mars 2021, une attaque informatique générale. Elle a touché tous ses bureaux sur le territoire ibérique, l’obligeant à suspendre toute activité et à reporter les rendez-vous de la journée. Des actions urgentes ont eu lieu, avec pour objectif principal de contenir, d’isoler et, d’atténuer son impact sur les systèmes d’informations.

Le site du SEPE est hors service depuis mardi en raison d’une cyberattaque. « Le ministère du Travail enquête sur l’origine de la faille de sécurité dans les systèmes informatiques du service public de l’emploi qui a également affecté les ordinateurs des employés de l’agence, qui ont dû les éteindre en attendant de connaître l’ampleur », explique El Diario. Une équipe de techniciens et d’experts du ministère travaille pour le retour à une activité normale dès que possible. « Le ministère du Travail et de l’Économie sociale regrette profondément les désagréments causés aux utilisateurs en raison de cette cyberattaque », indique le ministère.

« Des travaux sont en cours dans le but de restaurer les services prioritaires dès que possible, notamment le portail du service public de l’emploi de l’État, puis de rétablir progressivement le reste des services destinés aux citoyens, aux entreprises, aux prestations et aux agences pour l’emploi », affiche l’agence.

« Les délais de demande de prestations seront prolongés d’autant de jours […], cette situation n’affectera en aucun cas les droits des demandeurs de prestations », mentionne le SEPE. Le renouvellement des droits se fera automatiquement ou pourra être renouvelé une fois que le service aura été rétabli sans perte. « Cette situation a provoqué le retard dans la gestion de centaines de milliers de rendez-vous dans toute l’Espagne […] avec les difficultés que tout cela entraîne dans la situation d’avalanche de dossiers à laquelle est confronté le SEPE depuis le début de la pandémie. »

4 008 489 Espagnols au chômage

Le syndicat des employés du service public (CSIF) s’inquiète de l’obsolescence du matériel informatique relate Vozpopuli. Luis Gonzalez, représentant du syndicat CSIF (Centrale indépendante des syndicats et des fonctionnaires) à Tarragone en Catalogne, rappelle que les matériels informatiques sont « dépassés ». Le nombre des demandeurs d’emploi dépasse les 4 millions, une première depuis avril 2016. Au total, 4.008.489 personnes sont inscrites comme demandeurs d’emploi, sans compter les 900.000 personnes couvertes par les mécanismes de chômage partiel, qui ont mis en place au début de la pandémie en mars 2020 et ont été renouvelés jusqu’au 31 mai prochain relate Les Échos.

Les premières investigations ne permettent pas, actuellement, de connaître l’origine de cette attaque. Néanmoins la signature d’apparition du ransomware Ryuk est définie sous la forme d’un fichier texte ou d’un fichier HTML comme le montre l’image ci-dessus. En janvier 2020, les opérateurs derrière le ransomware Ryuk s’introduisirent et mirent hors service les systèmes de l’hôpital de Torrejón, dans la province de Madrid, mais pas seulement. Comme l’explique El Mundo, d’autres entreprises espagnoles ont subi également le ransomware « d’origine russe », la radio privée SER et Everis. Gerardo Gutierrez, directeur du SEPE, a confirmé qu’il s’agit de « la dernière version du virus Ryuk » et que l’agence a subi « une cyberattaque similaire à celles reçues par d’autres entreprises ou administrations dans le monde ».

Le rançongiciel Ryuk

Nouveau venu dans le monde des ransomwares ? Pas vraiment ! Selon le rapport de l’agence nationale de la sécurité des systèmes d’information (ANSSI), le rançongiciel Ryuk a été observé pour la première fois en août 2018. « C’est une variante du rançongiciel Hermes 2.1, vendu sur le forum souterrain exploit.in à partir de février 2017 par le groupe cybercriminel CryptoTech pour environ 300 dollars. Depuis octobre 2019, Ryuk dispose d’une fonctionnalité lui permettant d’allumer les postes éteints présents sur le réseau local (Wake-on-LAN) afin d’accroître sa surface de chiffrement », continue le rapport de l’Agence.

Son apparition remonterait à décembre 2019, le rançongiciel Conti serait mis à la disposition d’affiliés selon le modèle de ransomware-as-a-service (RaaS). « Il a notamment été déployé en parallèle de Ryuk au cours de chaînes d’infection Emotet-TrickBot-Ryuk/Conti ou BazarLoader-Ryuk/Conti. Il est à l’origine de la compromission de nombreuses entités depuis août 2018, qu’il cible pour leur rentabilité et leur capacité à payer des rançons de montants élevés (Big Game Hunting). En octobre 2020, Ryuk serait responsable de 75% des attaques sur le secteur de la santé, secteur qu’il attaquerait depuis le premier semestre 2019 », poursuit l’ANSSI. Bien qu’aucun ciblage sectoriel spécifique ne puisse être identifié, il apparaît cependant qu’il cible particulièrement les États-Unis et le Canada, mais dorénavant aussi en Espagne.