Cyberattaques : un groupe de ransomware se serait trompé de cible
Une compagnie des eaux fournissant de l’eau potable à plus de 1,6 million de personnes au Royaume-Uni affirme avoir été victime d’une cyberattaque. Mais les cybercriminels impliqués ont revendiqué une attaque… chez une entreprise concurrente.
South Staffordshire Water affirme avoir été la « cible d’une cyberattaque criminelle » qui perturbe le réseau informatique de l’entreprise. L’attaque n’a cependant pas affecté sa capacité à fournir de l’eau potable à ses clients.
La société explique dans un communiqué que ses services n’ont pas été interrompus grâce « aux systèmes et contrôles robustes sur l’approvisionnement en eau et la qualité de l’eau que nous avons mis en place à tout moment, ainsi qu’au travail rapide de nos équipes pour répondre à cet incident et mettre en œuvre les mesures supplémentaires que nous avons mises en place à titre de précaution ».
Comme deux gouttes d’eau
Si South Staffordshire Water n’a pas divulgué la nature de la cyberattaque dont elle a été victime, elle a révélé avoir été la cible de pirates informatiques peu après que le groupe de ransomware Clop a annoncé avoir frappé une autre société de distribution d’eau, Thames Water. Cette dernière affirme pourtant que cette information est fausse.
« Nous avons appris dans les médias que Thames Water serait confrontée à une cyberattaque. Nous tenons à vous rassurer : ce n’est pas le cas », a indiqué la société.
« En tant que fournisseurs d’un service essentiel, nous prenons la sécurité de nos réseaux et de nos systèmes très au sérieux et nous nous concentrons sur leur protection, afin de pouvoir continuer à vous fournir les services et le soutien dont vous avez besoin. »
Vol de données
Sur son site de fuite, Clop affirme avoir passé « des mois » dans le système de l’entreprise. Si tel est le cas, on ne sait pas pourquoi la bande du ransomware pensait se trouver dans le réseau de Thames Water si elle avait en fait pénétré dans le réseau de South Staffordshire Water, alors que ce sont deux sociétés distinctes qui fournissent de l’eau à différentes régions du Royaume-Uni.
Les cybercriminels prétendent également avoir accès aux systèmes de contrôle industriel SCADA (Supervisory Control and Data Acquisition), qui contrôlent les produits chimiques dans l’eau. Une affirmation réfutée par South Staffordshire Water : « cet incident n’a pas affecté notre capacité à fournir une eau sûre ».
Si Clop affirme avoir eu accès au réseau, le groupe dit ne pas l’avoir chiffré, précisant « ne pas attaquer les infrastructures critiques ». Malgré cela, Clop affirme avoir volé plus de 5 To de données et tenté d’extorquer une rançon en échange de la non-divulgation de ces données.
Une rançon envoyée à la mauvaise cible ?
On ignore pour l’instant quel type de rançon a été demandée, ou si la demande a été satisfaite – en particulier si les attaquants ont essayé d’extorquer un paiement à la mauvaise cible.
South Staffordshire Water indique « travailler en étroite collaboration avec les autorités gouvernementales et réglementaires compétentes » et qu’elle les tiendra informées, ainsi que ses clients, au fur et à mesure que les enquêtes sur l’incident se poursuivront.
« Nous sommes conscients que South Staffordshire Plc a été la cible d’un cyberincident. Le Defra et le NCSC travaillent en étroite collaboration avec l’entreprise », a déclaré un porte-parole du gouvernement britannique à ZDNET. « Suite à un engagement étendu avec South Staffordshire Plc et l’Inspection de l’eau potable, nous sommes rassurés sur le fait qu’il n’y a pas eu d’impact sur l’approvisionnement continu en eau potable, et la société prend toutes les mesures nécessaires pour enquêter sur cet incident. »
ZDNet a contacté South Staffordshire Water mais cette dernière n’avait pas répondu au moment de la rédaction de cet article. Du côté de l’agence nationale de cybersécurité, le NCSC, on nous a répondu qu’il n’était pas possible de commenter un incident en cours.
Clop toujours actif
Lindy Cameron, dirigeante du centre national pour la cybersécurité britannique (NCSC), qualifiait récemment les ransomwares de « plus grande menace cyber, au niveau mondial, à laquelle nous avons jamais été confrontés ». L’agence de cybersécurité britannique conseillait également aux victimes de ne jamais payer la rançon, sous peine d’encourager de nouvelles attaques.
Des membres du groupe de ransomware Clop ont été arrêtés l’année dernière lors d’un coup monté par la police ukrainienne.
Mais cette attaque, ainsi que d’autres, montrent que le groupe reste apparemment actif.
Source : ZDNet.com
