Attaque REvil sur Apple – Commentaire de Kaspersky

0

Aujourd’hui, le groupe d’attaquants REvil a mentionné avoir attaqué le fabricant d’ordinateurs portable Quanta. Parmi les clients de la société, on trouve notamment Apple. Denis Legazo, senior security researcher, Global Research and Analysis Team de Kaspersky (GReAT) commente cette actualité. 

Qu’est-ce que REvil ?

Le ransomware REvil (également connu sous le nom de Sodin ou Sodinokibi), connu depuis 2019, peut à la fois chiffrer et voler des données. Il est accessible via des forums spécialisés « par abonnement » (ransomware-as-a-service). Ainsi, deux groupes d’attaquants sont impliqués dans l’attaque : le premier trouve une brèche dans la protection de l’entreprise et y injecte REvil, et le second crée le malware. Après le chiffrement ou le vol de données, une rançon est demandée à la victime. Et en cas de succès, elle est divisée entre ces groupes.

Une caractéristique intéressante de ce logiciel malveillant est qu’il ne démarre pas s’il détecte certaines langues lors de la vérification de la langue du système et des configurations des claviers (il s’agit d’un vaste ensemble de dizaines de dispositions), y compris le russe.

Dans quelle mesure la menace représentée par ces acteurs est-elle importante ?

La menace est réelle et il ne s’agit pas du premier incident notoire utilisant ce logiciel malveillant.

Que doit faire Apple dans cette situation ? Et comment l’entreprise peut-elle se protéger si les sous-traitants sont si facilement piratés ?

Malheureusement, les mesures de protection purement techniques ne suffisent pas – le périmètre de protection du contractant est de son ressort. Il ne reste plus aux fabricants qu’à imposer des exigences strictes en matière de sécurité de l’information à leurs fournisseurs, ou encore, par exemple, à imposer des sanctions juridiques en cas de violations de ce type.

Comment les services de sécurité de l’information peuvent-ils aider dans de telles situations ? Est-ce leur rôle de prévenir ce type d’attaques ?

Leur principale mission est de prévenir l’apparition de telles attaques à l’avenir. Suite à des attaques de ce type, il est essentiel de mener des enquêtes exhaustives sur l’incident, de tirer les conclusions adéquates sur les vulnérabilités actuelles et de les corriger (supprimer l’utilisation excessive du protocole RDP, en particulier sans VPN, et réduire la surface d’attaque). Nous pensons qu’il est également important de mettre en place une surveillance efficace et d’établir un plan d’action au cas où de telles attaques se produiraient.

Cette attaque est-elle particulièrement unique ? Comment peut-elle affecter le monde de la sécurité ?

Les attaques de ransomware ciblées visant des multinationales sont devenues monnaie courante, notamment ces dernières années. Une attaque spécifique comme celle-ci ciblant une entreprise connue dans le monde entier ne changera pas la façon dont les choses fonctionnent. Cependant, nous espérons que la réaction à cette tendance sera une plus grande vigilance de la part des entreprises via une surveillance accrue des événements de sécurité, la mise en place de systèmes de cybersécurité complexes incluant la détection proactive des attaques, sans oublier une formation renforcée des salariés aux règles de cybersécurité à observer.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.