Le géant allemand Software AG mis à terre par une attaque de ransomware
Software AG, l’une des plus grandes sociétés de logiciels au monde, a été victime d’une attaque par rançongiciel le week-end dernier, et la société ne s’est pas encore complètement remise de cet incident.
Des données personnelles volées publiées sur le dark web
Un groupe du nom de Clop a pénétré dans le réseau interne de l’entreprise le samedi 3 octobre, chiffré des fichiers et demandé plus de 20 millions de dollars pour fournir la clé de décryptage.
Plus tôt dans la journée, après l’échec des négociations, le groupe Clop a publié des captures d’écran des données de l’entreprise sur un site web que les pirates exploitent sur le dark web.
Les captures d’écran montrent des scans de passeport et de carte d’identité des employés, des courriels des employés, des documents financiers et des répertoires du réseau interne de l’entreprise.
Image : ZDNet.
Des vols de données clients ont été constatés
Software AG a révélé l’incident lundi 5 octobre, indiquant qu’elle était confrontée à des perturbations sur son réseau interne « en raison d’une attaque de logiciel malveillant ».
L’entreprise a précisé dans un premier temps que les services clients, y compris ses services basés sur le cloud, n’étaient pas affectés et qu’elle n’avait pas connaissance « d’informations clients auxquelles les attaquants auraient pu accéder ». L’entreprise est revenue sur ses déclarations deux jours plus tard dans un second communiqué, indiquant cette fois que des vols de données avaient été constatés.
Le message concernant l’attaque est resté sur la page d’accueil de son site officiel toute la semaine. Software AG n’a pas répondu à nos questions sur l’incident.
La rançon ne semble pas avoir été payée
Une copie du binaire du rançongiciel utilisé contre Software AG a été découverte en début de semaine par le chercheur en sécurité MalwareHunterTeam. La demande de rançon de plus de 20 millions de dollars est l’une des plus importantes jamais demandées dans le cadre d’une attaque de type ransomware.
L’identifiant fourni dans la note de rançon a permis aux chercheurs en sécurité de visualiser les discussions en ligne entre les attaquants et le groupe Software AG sur un portail web géré par le groupe de ransomware.
Au moment de la rédaction de cet article, rien n’indique que la société allemande a payé la demande de rançon.
Clop, bien connu des services
Le ransomware Clop, utilisé dans le cadre de cette attaque, a également sévi en France : c’est ce rançongiciel qui est notamment suspecté d’avoir été mis en œuvre en 2019 dans l’attaque ayant perturbé le CHU de Rouen. En novembre 2019, l’Anssi avait publié un rapport faisant état d’une recrudescence d’activité du groupe Clop en France, et offrant quelques détails sur le fonctionnement du ransomware.
L’Anssi le liait au groupe connu sous le nom de TA505, très actif depuis 2014, qui s’est illustré dans des attaques de différentes natures. Un rapport portant plus spécifiquement sur l’évolution de ce groupe avait été publié au mois de juin 2020.
Software AG est la deuxième plus grande entreprise d’Allemagne, avec plus de 10 000 entreprises clientes réparties dans 70 pays. Parmi les clients les plus connus de l’entreprise figurent Fujitsu, Telefonica, Vodafone, DHL et Airbus. Sa gamme de produits comprend des logiciels d’infrastructure d’entreprise comme des systèmes de bases de données, des cadres de bus de services d’entreprise (ESB), des architectures logicielles (SOA) et des systèmes de gestion des processus d’entreprise (BPMS).
Source : ZDNet.com
