Le ministère du travail espagnol à nouveau infecté

C’est à nouveau le ransomware « Ryuk » qui serait à l’origine de la panne du ministère du Travail et de l’Économie sociale, le 9 juin 2021. Le 10 mars 2021, l’agence pour l’emploi espagnole (SEPE) avait été knock-out durant plusieurs semaines. Des dommages sont relatés au niveau de l’intégration, mais les bureaux de la sécurité sociale et de l’immigration continuent de fonctionner.

Trois mois seulement après avoir subi une des plus grandes cyberattaques de ces dernières années, qui avait mis à terre le Service public de l’emploi (SEPE), le ministère du Travail a reçu une seconde infection par procédé identique. Des employés du ministère ont confirmé à El Confidencial qu’il s’agit du ransomware « Ryuk », qui crypte les données et demande une rançon en contrepartie du déchiffrement. Le même type d’opération a été utilisé pour laisser hors jeu le SEPE pendant plus de deux semaines, mais également Everis et Cadena SER, en 2019. La société de Conseil et de services informatiques, filiale du géant japonais NTT DATA, Everis avait reconnu dans ses comptes annuels que la cyberattaque lui a valu une perte totale de 15 millions d’euros, en termes d’« heures non productives et de coûts directs de récupération ».

L’incident a été décrit comme « critique »

Les techniciens responsables du gouvernement et du Centre national de cryptologie (CCN-CERT) dépendant du CNI (Centre national d’intelligence) « travaillent ensemble pour déterminer l’origine et rétablir la normalité le plus rapidement possible », a twitté le ministère concerné. L’offensive n’a pas touché le SEPE, mais les dispositifs internes de l’agence, quoi qu’il en soit la portée est assez importante en termes de contamination des systèmes d’information. Il a été classé comme un incident critique, pour autant l’impact éventuel sur les services offerts aux citoyens est encore inconnu. « Ce qui s’est passé avec le SEPE n’a pas été catalogué en tant que tel en interne, et il a été hors fonctionnement pendant deux semaines, alors imaginez ce qui pourrait se passer cette fois-ci », soulignent les spécialistes. En fonction de la gravité des attaques, celles-ci sont étiquetées à un niveau ou un autre de réponse, ce qui détermine également les ressources et l’urgence avec laquelle agir.

Pendant deux semaines, les employés du SEPE ne pouvaient pas toucher aux ordinateurs, aux imprimantes, ni même aux téléphones fixes. « Ryuk » a également été utilisé pour détourner les systèmes d’autres organisations en Espagne, au même degré que la mairie de Jerez et de Bilbao, ou d’entreprises dans le monde entier, de plusieurs médias aux États-Unis, comme le « Los Angeles Times », des écoles, des hôpitaux et des multinationales comme la société française Sopra Steria.

Comment « Ryuk » travaille-t-il ?

Le principal vecteur d’entrée est généralement le courriel. Une personne, au sein d’une institution ou d’une firme, reçoit un e-mail contenant un code malveillant dissimulé régulièrement dans une pièce jointe. Une fois que le programme s’est immiscé, il peut rester endormi, pour s’activer à la fermeture des bureaux, ou œuvrer de suite. L’effet domino est la suite. Il se propage vers d’autres systèmes d’information connectés au réseau pour les crypter. « Ryuk » est une évolution d’un virus né en 2017 appelé « Hermes ». Des sources du ministère du Travail espagnol assurent que, pour l’instant, il n’y a pas eu de demande de rançon. Mais l’organisme public ibérique n’a pas été la seule victime ces derniers mois.

Récemment, JBS la compagnie brésilienne a également subi une cyberattaque par ransomware. Elle est la plus grande institution de viande au monde en termes de ventes, convertissant du bœuf, de la volaille et du porc de l’Australie à l’Amérique du Sud et à l’Europe. Aux États-Unis, l’entreprise est le plus considérable transformateur de bœuf et l’un des principaux fournisseurs de poulet et de porc. Ainsi, le 9 juin 2021, elle a du débourser 11 millions de dollars rapporte le Wall Street Journal, suite à une infection par code malveillant survenue dix jours auparavant. Elle a été incapable de faire fonctionner ses usines américaines, australiennes et canadiennes pendant presque une semaine. La même chose s’est produite avec le piratage du Colonial Pipeline, plus grand oléoduc des États-Unis, le 7 mai 2021.