Posté le décembre 12, 2021 à 9:05
LE CONSTRUCTEUR AUTOMOBILE SUÉDOIS VOLVO EST VICTIME D’UNE VIOLATION DE LA CYBERSÉCURITÉ DE SES DONNÉES DE R&D
Le constructeur automobile suédois Volvo Cars a annoncé qu’il avait récemment subi un piratage par des hackers inconnus qui ont volé des informations de recherche et développement sur ses serveurs.
« Volvo Cars a appris qu’un tiers avait accédé illégalement à l’un de ses dossiers », a déclaré le constructeur.
Toutefois, la société a fait remarquer que seule une quantité limitée de ses propriétés en matière de R&D a été volée pendant l’attaque. En outre, Volvo a admis que l’intrusion pourrait avoir un impact sur les opérations de l’entreprise.
Volvo déclare que l’incident fait l’objet d’une enquête
Volvo a également déclaré avoir informé les autorités compétentes de la violation et après avoir découvert l’incident de piratage. Elle a également indiqué que des experts indépendants ont été invités à participer à l’enquête sur cette intrusion.
Le constructeur automobile a déclaré avoir immédiatement mis en œuvre des mesures de sécurité renforcées pour offrir une meilleure protection à son serveur après avoir détecté l’intrusion.
Toutefois, la cyberattaque n’a pas eu d’impact sur la sécurité ou la sûreté des données personnelles des voitures de ses clients, a expliqué Volvo.
Elle a toutefois ajouté que cette affirmation n’était fondée que sur l’enquête menée jusqu’à présent sur l’incident et sur les informations actuellement disponibles.
Selon Bleeping Computer, un groupe de ransomware connu sous le nom de Snatch a déjà revendiqué la responsabilité de l’attaque. Le groupe a déjà publié un petit détail des documents prétendument volés à l’entreprise et l’a ajouté à son site de fuites.
La société de cybersécurité Sophos a confirmé que le groupe de hackers est actif depuis 2018, mais a été reconnu comme un groupe de ransomware sérieux en 2019. À l’époque, ils ont redémarré un ordinateur infecté en mode sans échec et contourné les logiciels antivirus, pour finalement exécuter un processus de cryptage par le ransomware.
L’équipe Sophos MTR a confirmé que son enquête a révélé que le ransomware se configure comme un service qui s’exécute pendant un démarrage en mode sans échec. Cependant, les chercheurs pensent que l’amélioration du mode sans échec du ransomware est une fonctionnalité récemment ajoutée.
Snatch représente un risque à haute gravité
Les SophosLabs préviennent également que le ransomware snatch pose des risques élevés et que les organisations ne doivent pas sous-estimer la gravité des dangers qu’il représente pour les réseaux. L’équipe a noté que les autres entreprises de sécurité et les utilisateurs devraient être conscients des dangers posés par le ransomware.
Le ransomware Snatch, selon les SophosLabs, se compose d’un voleur de données et d’une collection d’outils, qui incluent un composant ransomware.
Tous deux sont conçus par les hackers qui exploitent le logiciel malveillant.
Le groupe est également connu pour acheter l’accès aux réseaux des victimes et se cacher pendant plusieurs jours, augmentant ainsi sa présence sur le réseau compromis avant de lancer le processus de ransomware sur le système.
Le groupe se livre également au vol par ransomware
En plus de crypter les réseaux des victimes, le groupe s’est également fait connaître comme un groupe de ransomware qui se livre au vol de données.
Erich Kron, spécialiste de la sensibilisation à la sécurité chez KnowBe4, a fait remarquer que la plupart des ransomwares sont distribués en exploitant des instances RDP ouvertes au marché ou par le biais d’e-mails de phishing, mais la dernière attaque de ransomware contre Volvo revêt toutes les caractéristiques de Snatch.
« Le groupe Snatch fait grand usage du RDP pour l’infection et les déplacements latéraux au sein d’une organisation », a-t-il ajouté.
M. Kron a déclaré qu’en plus de renforcer les ressources de sécurité, une autre bonne façon de se défendre contre la menace de ce type de logiciel malveillant est de former les employés. Ceux-ci doivent être éclairés sur le fonctionnement et les méthodes d’attaque des ransomwares. Les employés doivent également être formés à l’importance de toujours utiliser des mots de passe complexes et d’éviter de partager des mots de passe avec d’autres comptes. M. Kron ajoute que les organisations doivent se méfier des attaques par force brute sur les données RDP.
Depuis l’intrusion, le groupe de hackers a déjà divulgué 35,9 Mo de données prétendument volées sur le serveur de Volvo.
Volvo se refuse à tout commentaire sur l’incident
On ne sait pas si le groupe a demandé une rançon à Volvo, qui a refusé de commenter l’incident.
Volvo a refusé de répondre aux messages envoyés pour confirmer si les captures d’écran partagées par le groupe de ransomware sont des fichiers volés sur ses serveurs. Le constructeur automobile a simplement déclaré : « Nous ne pouvons pas faire d’autres commentaires ».
Volvo a déclaré que, bien qu’elle prenne très au sérieux toutes les cybermenaces contre ses systèmes, elle ne fournit pas de détails sur les menaces ou les attaques potentielles en matière de cybersécurité.
Le constructeur automobile a ajouté que la cybersécurité fait partie intégrante de ses activités et de son travail de développement à l’échelle mondiale. En outre, il participe activement aux travaux internationaux sur la normalisation et les meilleures pratiques en matière de cybersécurité.
