Une filiale d’Axa en Asie victime d’un ransomware

Spread the love
Une filiale d'Axa en Asie victime d'un ransomware

L’assureur Axa a été frappé par une cyberattaque dans ses bureaux en Asie, ce week-end, par le célèbre groupe de ransomware Avaddon.

Un porte-parole d’AXA Partners a déclaré à ZDNet qu’une attaque ciblée de ransomware a perturbé leurs opérations informatiques en Thaïlande, en Malaisie, à Hong Kong et aux Philippines. Certaines données traitées par Inter Partners Asia en Thaïlande ont été consultées, précise le porte-parole, mais rien ne prouve que d’autres données l’aient été.

La société a engagé une équipe d’experts pour enquêter sur l’incident et indique qu’elle a notifié ses partenaires commerciaux ainsi que les autorités de réglementation, tout en se préparant à soutenir tous les clients qui ont pu être touchés.

publicité

Des échantillons de données publiés

Les membres du groupe Avaddon ont écrit sur leur site Internet qu’ils avaient déjà pris trois téraoctets de données au groupe AXA, et que les fichiers comprenaient des informations comme des passeports, des cartes d’identité, des remboursements refusés, des contrats, des réclamations de clients, des paiements aux clients, des informations de comptes bancaires, des dossiers d’hôpitaux sur des enquêtes de fraude et des rapports médicaux contenant des informations sensibles sur des patients. Le groupe a même publié des échantillons de ces données.

Chad Anderson, chercheur chez DomainTools, affirme que les personnes à l’origine du groupe de ransomware Avaddon ont annoncé leur dernière victime sur une page du dark web, partageant avec ZDNet une capture d’écran de la liste des cibles du groupe ainsi que des minuteurs indiquant le temps dont dispose chaque victime avant qu’une rançon ne soit exigée.

Les entreprises figurant sur la liste comprennent le groupe AXA, la société de matériel informatique EVGA, la société de logiciels Vistex, le courtier d’assurance Letton Percival, Henry Oil & Gas, la société aéroportuaire du gouvernement indonésien PT Angkasa Pura I, et Acer Finance.

Le FBI et le centre australien de cybersécurité ont publié la semaine dernière des avis d’alerte concernant les tactiques de ransomware d’Avaddon. Selon Chad Anderson, il reste à AXA environ trois jours avant que les membres d’Avaddon ne commencent à divulguer les documents de l’entreprise.

Le paiement des rançons dans le collimateur d’Axa

La compagnie de cyberassurance a fait parler d’elle récemment parce qu’elle s’est engagée à ne plus rembourser les clients en France qui avaient été touchés par des attaques de ransomware et avaient décidé de payer la rançon. Cette décision a été prise sous la pression de régulateurs français, arguant que les paiements d’assurance alimentaient l’augmentation des paiements de rançon et rendaient les crimes lucratifs pour les responsables.

« Au total, depuis sa découverte en juin 2020, le groupe Avaddon a publié des données sur des dizaines de victimes sur son site web, suivant la technique de double extorsion désormais courante chez les opérateurs de ransomware », explique Chad Anderson. « Avaddon gère également un programme d’affiliation dans le cadre duquel ils recrutent des pirates sur des forums souterrains pour déployer leur ransomware. Cette intrusion la plus récente montre que les opérateurs humains derrière ces familles de ransomware continuent d’affiner leurs compétences et deviennent continuellement plus rapides à se déployer sur les réseaux des victimes. »

Les experts en cybersécurité notent qu’il est impossible d’ignorer le timing de l’attaque. Chris Clements, vice-président de l’architecture des solutions chez Cerberus Sentinel, estime qu’Avaddon a peut-être ciblé AXA pour faire un exemple des entreprises remettant en cause leurs objectifs commerciaux.

Une menace à l’échelle mondiale

Mais, à un niveau plus profond, Chris Clements pense que c’est la preuve que presque toutes les organisations sont vulnérables d’une manière ou d’une autre, et que l’échelle et la complexité des réseaux modernes rendent presque impossible de boucher toutes les failles potentielles. « Si l’on ajoute à cela le fait que les revenus d’extorsion des gangs de ransomware leur permettent souvent de disposer de budgets plus importants que les défenseurs de leurs cibles, il n’est pas étonnant que les ransomwares soient une épidémie dans le monde entier », conclut-il.

Sean Cordero, conseiller en sécurité de Netenrich, ajoute que pour des entreprises aussi grandes qu’AXA, il est souvent difficile d’avoir une visibilité suffisante sur les pratiques et les contrôles de cybersécurité de leurs partenaires commerciaux et de leurs filiales.

Mais les leçons tirées de cette attaque, indique Sean Cordero, peuvent conduire à de meilleures façons de collaborer, tant pour l’assuré que pour l’assureur, car cette attaque implique une faiblesse dans l’évaluation, la validation ou l’exécution des risques. « Si un assureur comme AXA a du mal à valider ses capacités et ses besoins en matière de cyberassurance – quelle est la probabilité qu’il ait mal évalué les risques dans son portefeuille de clients de cyberassurance ? », s’interroge-t-il.

« J’imagine que les professionnels chargés d’obtenir des rendements positifs sur les polices de cybersécurité peuvent avoir renouvelé les discussions avec les évaluateurs et les souscripteurs à la suite de cet incident le plus récent. »

Source : ZDNet.com

Leave a Reply