zapp2photo - stock.adobe.com
Ransomware : Sodinokibi frappe le centre technologique de l’automobile de Galice
Le CTAG semble avoir été attaqué fin octobre, par le groupe Revil, qui apparaît désespérer d’être payé. Des équipements réseau vulnérables sont susceptibles d’avoir servi de point d’entrée aux assaillants.
Le centre technologique de l’automobile de Galice, le CTAG, est avant tout un acteur européen de la recherche et du développement dans le monde de l’automobile. Sur son site Web, il explique que sa mission consiste à « contribuer à améliorer la compétitivité des entreprises automobiles en incorporant de nouvelles technologies et en encourageant le développement, la recherche et l’innovation technologique ». Il propose notamment des pistes d’essai pour la conduite autonome et connectée, mais son offre de services est bien plus étendue que cela.
Le CTAG a ainsi fait partie des membres du projet 5GCAR, lancé en 2007 sous la houlette d’Ericsson, et qui regroupait notamment Bosch, Huawei, Nokia, Orange ou encore PSA et Volvo Cars. En juillet 2019, le groupe PSA a annoncé tester en milieu urbain, avec le CTAG, « la contribution des technologies de communication pour le développement des fonctions automatisées du véhicule ». Une expérimentation qui s’inscrit dans le cadre du projet européen Autopilot, lancé début 2017.
Sodinokibi
LeMagIT a découvert un échantillon du ransomware Sodinokibi qui apparaît avoir été déployé sur le système d’information de CTAG.
Les échanges entre les cyberdélinquants et leur victime ont démarré le 6 novembre. Avec une demande de cette dernière : « est-on vraiment obligé de payer ? ».
Les assaillants ont répondu le lendemain, en ouvrant la voie à la négociation : « vous pouvez faire une offre et nous y réfléchirons ». Mais la victime n’a pas repris contact. Au point que les assaillants apparaissent aujourd’hui s’inquiéter et chercher à, tout de même, retirer quelques menus moneros ou bitcoins de cette victime.
Initialement, le groupe Revil – aux commandes du rançongiciel Sodinokibi – demandait 300 000 $. Un montant qu’il a doublé, comme à son habitude, après avoir attendu plusieurs jours, en vain, une prise de contact de sa victime.
Mais en ce 18 novembre, les cybertruands sont revenus à la charge, cherchant à relancer la discussion avec un CTAG qui semble aujourd’hui bien décidé à les ignorer. Les assaillants ont donc renvoyé un message dans la matinée, assorti d’images présentant des éléments de l’infrastructure IT de CTAG, ou encore un document relatif à une pièce Delphi, dans une version conçue pour Peugeot, en 2018 : « nous sommes prêts à écouter votre offre et à faire un compromis en vous faisant une remise ». À croire qu’avec la concurrence acharnée de groupes comme Egregor, ou plus récemment NetWalker, l’hiver s’annonce dur pour certains cyberdélinquants.
Les données du moteur de recherche spécialisé Onyphe montrent que le CTAG exposait jusqu’à mi-octobre, sur Internet, des systèmes d’accès distant affectés par des vulnérabilités susceptibles d’avoir été exploitées par les assaillants : un Fortinet touché par la CVE-2018-13379, et un Cisco ASA, pour CVE-2020-2021.
L’utilisation de tels vecteurs serait en tout cas cohérent avec le mode opératoire du groupe Revil, qui achète des accès à des systèmes d’information, obtenus par d’autres au préalable. Le groupe l’avait ainsi indiqué à l’une de ses victimes outre-Rhin, KME, précisant qu’il s’agissait d’un système Citrix et lui recommandait d’utiliser l’authentification à double facteur.
Interrogé sur une récente cyberattaque de ransomware sur son système d’information, un porte-parole du CTAG nous a répondu ne pas être personnellement au courant d’un éventuel incident. Il a par ailleurs promis de revenir vers le MagIT le temps de se renseigner en interne. Nous compléterons cet article à réception de ce retour.