L’Italie subit de multiples infections par ransomware

Après l’ordre national des notaires, la municipalité de Brescia et celle de Rho, c’est au tour d’un groupe automobile d’Italie du nord d’être infecté par un code malveillant de type ransomware. L’attaque de l’ordre par RansomExx n’a fait que peut de bruit, en revanche, c’est la rançon demandée pour chaque commune lombarde qui fait couler beaucoup d’encre. Tout comme l’attaque d’Axios, qui ressemble à celle subie par le CNED en France.

Le nouveau rapport sur la cybersécurité en Italie confirme le courrier électronique comme l’un des vecteurs principaux de la violation des systèmes d’information dans l’industrie et le domaine bancaires italiens. Ainsi, les clients du géant automobile « Gino Grupo » basé à Cuneo, dans le Piémont, font les frais d’opérateurs malveillants. C’est par un courriel que les milliers de clients du principal concessionnaire de la région de Granda, et l’un des plus importants d’Italie, furent prévenus : « Chers clients, le 7 avril 2021, nous avons malheureusement découvert que nos systèmes avaient été attaqués par des pirates informatiques inconnus. Nous avons donc immédiatement fait appel à une entreprise spécialisée afin de tenter de résoudre le problème et de limiter au maximum les dégâts », expliquaient-ils. La Stampa explique que le groupe visé « livre chaque année plus de 10 000 voitures » de marques prestigieuses (Mercedes Benz, BMW, Mini, Aston Martin), possède huit succursales et 340 employés au Piémont, en Ligurie et en Toscane, avec un chiffre d’affaires de 250 millions d’euros.

La ville de Caselle Torinese voit ses données exfiltrées suite à l’infection par un ransomware. (Crédits : Capture d’écran)

« C’est le mercredi que l’attaque aurait eu lieu, la conséquence se ressentait avec la panne du site le lendemain jeudi 8 et vendredi 9 avril 2021. Des enquêtes sont en cours – poursuis la lettre aux clients —. L’attaque a provoqué, d’une part, le cryptage de données dans nos serveurs (nous essayons de réinstaller une copie qui n’a pas été compromise) et, d’autre part, une exportation de données ». La procédure est identique aux infections par code malveillant de type ransomware, une partie des données sont inaccessibles, car cryptées une clé de chiffrement. L’autre partie est lisible comme preuve de l’infection, puis de l’exfiltration. En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) propose un guide afin d’anticiper, et de connaître les démarches à effectuer dans : « Attaques par rançongiciels, tous concernés – comment les anticiper et réagir en cas d’incident ? »

De son côté le groupe automobile continue de travailler dans le but d’atténuer les effets, et en restaurant les données, puis en les sécurisants. « Nous avons préparé la plainte qui sera déposée auprès de l’autorité judiciaire le lundi 12 avril et nous en informons l’Autorité de protection de la vie privée », conclut le groupe en conseillant à ses clients de signaler toute situation anormale et de changer leurs mots de passe.

26 bitcoins demandés pour rançon

La commune de Brescia, chef-lieu de la Lombardie, située au nord de l’Italie infectée par un code malveillant. Les opérateurs derrière le ransomware DopppelPaymer se sont attaqués aux terminaux de la municipalité. Il n’existe aucun doute possible sur la nature de l’intervention subie par la ville : « À des fins d’extorsion » explique la municipalité aux journalistes du « Corriere della sera ».

L’attaque effectuée par les opérateurs RAnsomExx a exfiltré 3 Gb de données soit 17 706 documents. (Crédits : capture d’écran)

L’attaque se serait effectuée en deux temps, la première dans la nuit du 29 au 30 mars, puis celle du 31 mars au 1er avril 2021. Étrangement, elle se déroule au moment ou les données de la ville de Brescia se dirigeaient vers un cloud. « Un projet qui devrait augmenter considérablement le seuil de sécurité […] ». Il fallu attendre quelques jours pour que les intentions soient dévoilées aux dirigeants de la commune italienne. Une demande de rançon, a été formulé, de 26 bitcoins, équivalents à plus de 1, 36 millions d’euros. « Bien entendu, la police a été immédiatement informée et tout paiement est exclu, |…] », explique le directeur général du Palazzo Loggia, Giandomenico Brambilla.

La commune de Rho se relève

La ville lombarde de Rho infectée par les opérateurs de DoppelPaymer, comme l’a été Brescia. L’action se déroule dans la nuit du 1er avril 2021, entre 3 h 21 et 5 h 40 ont indiqué les autorités. Il Giorno relate qu’après 13 jours, mes dommages causés au réseau sont réparés, mais le retour à la normale est encore loin. Il est fréquent qu’une période de trois mois soit nécessaire après de telles infections. Au sein de la municipalité, un travail de fourmi s’effectue. Le personnel, soutenu par des techniciens de sociétés externes, travaille à la réinitialisation de tous les terminaux, soit près de 300. En plus de la reconfiguration du système informatique, un nettoyage en profondeur est nécessaire. Un travail scrupuleux, mais fondamental pour repartir en toute sécurité.

La municipalité s’en sort mieux que prévu selon son maire Pietro Romano, mais le retour à la normalité promet d’être long. (Crédits : DR)

« Les modalités de l’attaque contre la ville de Rho sont très similaires à celles utilisées par les hackers de Brescia. Heureusement, nous n’avons perdu aucune donnée. […] Malheureusement, l’incident s’est produit malgré le fait que les systèmes antivirus et de sécurité de l’information sont actifs », souligne l’édile Pietro Romano. La rançon demandée était de 7, 62 pour grimpé à 13, 178 bitcoins, soit près de 700000 euros au cours actuel.

Axios, le CNED italien

L’entreprise Axios fournit l’interface entre parents, professeurs et élèves pour environ 40 % des écoles italiennes, ce qui représente plus de 5, 5 millions d’étudiants. « Suite aux vérifications techniques approfondies effectuées depuis samedi matin parallèlement aux activités de restauration du service, nous avons reçu la confirmation que l’inefficacité créée est sans équivoque le résultat d’une attaque de ransomware sur notre infrastructure », affirmait le site Axios le 5 avril 2021.

Le site Axios reprend petit à petit ses fonctions et usages. La direction affiche de possibles retards du retour à 100 % pour les utilisateurs. (Crédits : capture d’écran)

Le rêve de chaque enfant s’est réalisé en Italie. Imaginez-vous le premier jour des vacances scolaires ayant cette discussion avec vos parents : « As-tu des devoirs à faire pour les vacances de Pâques ? », demanderait votre maman. « Non ! », auriez-vous répondu. « Comment ça, non ? Je vais vérifier… » Et, là grande surprise, pas de bulletins de notes, ni de devoirs, de véritables vacances en perspective. « Tous nos techniciens travaillent à un rythme incroyable pour rétablir tous les services dans les plus brefs délais, mais cela n’exclut pas qu’il puisse y avoir de légers retards par rapport à ce qui est indiqué », souligne la direction. Suite à la cyberattaque de Rho, la police a commencé ses investigations. Les premières informations indiquent que l’attaque est partie de Moldavie et que les auteurs devraient être les mêmes que ceux qui ont attaqué la ville de Brescia et Axios.

Romuald Pena

Journaliste et curieux de nature, j’aime les mots et ce qu’ils chantent aux oreilles qui les entendent. « La vérité, c’est qu’il n’y a pas de vérité », assurait Pablo Neruda. Ainsi j’apporte des faits, des faits, encore et toujours des faits, car : « Nous ne pouvons être condamnés à pire, à juger les autres, à être des juges. » (Le Testament d’Orphée, de Jean Cocteau)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.