alphaspirit - stock.adobe.com
Un ransomware à l’assaut de la filiale française du spécialiste de la sûreté Scutum
Celui-ci indique à ses partenaires avoir été victime d’une « cyberattaque de type cryptolockage dans la nuit de dimanche à lundi 2 novembre ». Il a, durant plusieurs mois, exposé des systèmes affectés par la vulnérabilité dite Shitrix.
[Mise à jour le 06/11/2020 @ 17h15] Les opérateurs du ransomware NetWalker viennent de revendiquer l'attaque sur la filiale française de Scutum.
[article original]
Ses sites Web myscutum.fr ou encore securite-sf.com sont indisponibles, mais elle assure que ses systèmes de télésurveillance et de gestion du SAV et de la maintenance sont opérationnels : la filiale française du groupe Scutum a été la cible d’une attaque de rançongiciel. Dans une note d’information, elle explique que celle-ci est survenue dans la nuit de dimanche à lundi 2 novembre et qu’une « compromission de [son] système d’information a été détectée, suite au chiffrement d’une partie de [ses] systèmes par un cryptolocker malveillant ». La messagerie, sur le domaine scutum.fr, a été arrêtée, ainsi que certains services et composants d’infrastructure « à titre préventif ».
L’entreprise assure qu’aucun vol de données n’a été identifié à ce stade de ses investigations. Elle explique avoir informé l’Agence nationale pour la sécurité des systèmes d’information (Anssi) et fait appel à des prestataires externes pour l’aider dans la remédiation et le durcissement de son système d’information. Elle n’a pas, pour l’heure, donné suite à nos sollicitations.
Et cela passera peut-être par une révision de certains processus internes, notamment pour la gestion des correctifs, voire de la vétusté. Nous avons ainsi identifié, et signalé, deux systèmes Citrix Netscaler/Gateway qui sont restés affectés par la vulnérabilité CVE-2019-19781, jusqu’à la fin juillet pour l’un, et jusqu’à la fin août pour l’autre… selon le moteur de recherche spécialisé Shodan. Les données de son homologue français Onyphe sont encore plus préoccupantes : selon celles-ci, l’un de ces systèmes est resté affecté jusqu’à début octobre, et l’autre l’était encore au 4 novembre.
L’exploitation de cette vulnérabilité a commencé très vite en début d’année. Elle a été observée sur l’infrastructure de nombreuses entreprises attaquées à grand renfort de ransomwares : Bretagne Télécom, ISS World, Faro Technologies, ou encore Honda et Enel, ainsi que les laboratoires Expanscience.
Scutum rejoint ainsi la ville de Vincennes parmi les victimes de ransomware françaises du mois de novembre. Les cyberdélinquants aux commandes d’Egregor viennent de leur côté de revendiquer des attaques sur Degomme-Boccard et Oviance, affirmant que des données dérobées au premier ont été vendues, et commençant à divulguer celles volées chez le second.