C’est à nouveau le ransomware Ryuk qui serait à l’origine de la panne du ministère du Travail et de l’Économie sociale, le 9 juin 2021. Le 10 mars 2021, l’agence pour l’emploi espagnole (SEPE) avait été knock-out durant plusieurs semaines. Des dommages sont relatés au niveau de l’intégration, mais les bureaux de la Sécurité sociale et de l’immigration continuent de fonctionner. Les systèmes d’information sont la proie des cybercriminels, à but lucratif pour eux-mêmes, comme parfois pour des entités étatiques.

Trois mois seulement après avoir subi une des plus grandes cyberattaques de ces dernières années, qui avait mis à terre le Service public de l’emploi (SEPE), le ministère du Travail a reçu une seconde infection par procédé identique.

L’incident est décrit comme « critique »

Des employés du ministère ont confirmé à El Confidencial qu’il s’agit du rançongiciel « Ryuk », qui chiffre les données et demande une rançon en contrepartie du déchiffrement. Le même type d’opération a été utilisé pour laisser hors jeu le SEPE pendant plus de deux semaines, mais également Everis et Cadena SER, en 2019.

La société de Conseil et de services informatiques — filiale du géant japonais NTT DATA — Everis avait reconnu dans ses comptes annuels que la cyberattaque lui a valu une perte totale de 15 millions d’euros, en termes d’« heures non productives et de coûts directs de récupération ».

Les techniciens responsables du gouvernement et du Centre national de cryptologie (CCN-CERT) dépendant du CNI (Centre national d’intelligence) « travaillent ensemble pour déterminer l’origine et rétablir la normalité le plus rapidement possible », a twitté le ministère concerné. L’offensive n’a pas touché le SEPE, mais les dispositifs internes de l’agence, quoi qu’il en soit, la portée est assez importante en termes de contamination des systèmes d’information. Il a été classé comme un incident critique, pour autant l’impact éventuel sur les services offerts aux citoyens est encore inconnu. (S. Hermann & F. Richter/Pixabay)

« Ce qui s’est passé avec le SEPE n’a pas été catalogué en tant que tel en interne, et il a été hors fonctionnement pendant deux semaines, alors imaginez ce qui pourrait se passer cette fois-ci », soulignent les spécialistes. En fonction de la gravité des attaques, celles-ci sont étiquetées à un niveau ou un autre de réponse, ce qui détermine également les ressources et l’urgence avec lesquelles agir.

Le communiqué du ministère du Travail et de l’Économie sociale veut rassurer les bénéficiaires de la Sécurité sociale et de l’immigration.

« La réponse à l’incident, qui s’est produit le 9 mars, a été immédiate dans le but de l’isoler et de minimiser ainsi son impact et sa portée. Il a été confirmé qu’il n’y a pas eu de soustraction de données et la confidentialité des paiements des avantages qu’elles font a été affectée, et que les systèmes d’exploitation et de gestion de la SEPE, ainsi que leurs serveurs, n’ont pas été endommagés par la cyberattaque », communique le ministère.

(Crédits : capture d’écran Twitter)

Pendant deux semaines, les employés du SEPE ne pouvaient pas toucher aux ordinateurs, aux imprimantes, ni même aux téléphones fixes. Ryuk a également été utilisé pour détourner les systèmes d’autres organisations en Espagne, au même titre que les mairies de Jerez et de Bilbao, ou d’entreprises dans le monde entier, de médias aux États-Unis, comme le « Los Angeles Times », d’écoles, d’hôpitaux et de multinationales comme la société française Sopra Steria.

Comment Ryuk travaille-t-il ?

Le principal vecteur d’entrée est généralement le courriel. Une personne, au sein d’une institution ou d’une firme, reçoit un e-mail contenant un code malveillant dissimulé régulièrement dans une pièce jointe. Une fois que le programme s’est immiscé, il peut rester endormi, pour s’activer à la fermeture des bureaux, ou œuvrer de suite.

L’effet domino est la suite. Il se propage vers d’autres systèmes d’information connectés au réseau pour les crypter. « Ryuk » est une évolution d’un virus né en 2017 appelé « Hermes ». Des sources du ministère du Travail espagnol assurent que, pour l’instant, il n’y a pas eu de demande de rançon.

Récemment, JBS, la compagnie brésilienne, a également subi une cyberattaque par ransomware. Elle est la plus grande institution de viande au monde en termes de ventes.

La plus grosse entreprise de viande mondiale en matière de commercialisation s’est résignée à payer le prix en bitcoin, pour un montant de 11 millions de dollars. (Crédits : Chet Strange/Getty Images)

Ainsi, le 9 juin 2021, elle a dû débourser 11 millions de dollars, rapporte le Wall Street Journal, suite à une infection par code malveillant survenue dix jours auparavant. Elle a été incapable de faire fonctionner ses usines américaines, australiennes et canadiennes pendant presque une semaine. La même chose s’est produite avec le piratage du Colonial Pipeline, plus grand oléoduc des États-Unis, le 7 mai 2021.