Ransomware : en septembre 2022, Toulouse INP a été frappé avec AvosLocker

Toulouse INP fait encore face aux suites d’une cyberattaque avec rançongiciel découverte le lundi 12 septembre 2022 à 21h, heure à laquelle le chiffrement a été déclenché. Le rançongiciel impliqué était AvosLocker. La cyberattaque n’a pas été revendiquée à ce jour.

[Mise à jour, le 10 mai 2023 @ 14h45] Très discret durant de longs mois sur la cyberattaque l’ayant frappé au mois de septembre dernier, Toulouse INP vient de révéler l’implication du ransomware AvosLocker (également appelé parfois simplement Avos). 

Brigitte Sor, DSI de l’établissement s’exprimait ce mercredi 10 mai 2023 au matin aux Assises du CSIESR, le Comité des Services Informatiques Enseignement Supérieur et Recherche, qui se déroulent actuellement à Giens. 

Lors de son intervention, Brigitte Sor a rappelé quelques éléments déjà connus, à commencer par le déclenchement du chiffrement le 12 septembre 2022 dans la soirée, et le dépôt des notes de rançons sur les machines affectées. Le chiffrement a été détecté très rapidement. La cyberattaque a été « bloquée » à 1h du matin.

L’enquête est alors lancée et durera jusqu’au 30 septembre. Le rançongiciel Avos est identifié à l’occasion des investigations, ainsi que le vecteur d’attaque initial. L’intrusion remontait ainsi au 4 septembre 2022. Elle est survenue via un compte légitime d’étudiant ayant été compromis. Les assaillants ont profité de cet accès initial pour déposer une balise Cobalt Strike et poursuivre leur avancée dans le système d’information. Selon la présentation de Brigitte Sor, Toulouse INP n’a pas encore pleinement retrouvé une situation opérationnelle nominale. 

À notre connaissance, la cyberattaque n’a pas, à ce jour, été revendiquée sur le site vitrine de la franchise Avos. Mais cette dernière s’est illustrée, au cours des derniers mois, par l’irrégularité de ses revendications. La franchise est toutefois connue pour pratiquer la double extorsion, à savoir voler des données avant de chiffrer les systèmes compromis. De quoi menacer de divulguer les données si la victime refuse de céder au chantage pour simplement reprendre ses activités. 

[Mise à jour, le 14 septembre 2022 @10h30] Toulouse INP vient de diffuser un communiqué de presse confirmant qu’il est la cible d’une attaque informatique. Et de préciser que l’INP est accompagné par l’Agence nationale de la sécurité des systèmes d’information (Anssi) ainsi que par le ministère de l’Enseignement supérieur et de la Recherche.

Jointe par téléphone, la responsable de la communication de Toulouse INP explique que le chiffrement a été déclenché lundi soir à 21h. Elle indique ne pas connaître, pour le moment, la famille de ransomware impliquée dans l’attaque. Une plainte a été déposée. 

L’annuaire a été touché par le chiffrement, bloquant les mécanismes d’authentification, jusqu’à dégrader les capacités d’accès physique aux bâtiments. Des mesures ont été prises pour rétablir pleinement ces accès. La messagerie électronique est pleinement opérationnelle – elle est opérée par Renater. Des sauvegardes étaient en place et doivent déjà permettre de recouvrer l’accès à certaines données. Les cours doivent être assurés, même si l’accès aux plannings antérieurement établis est actuellement impossible. 

Aucun vol de données n’a été établi à ce stade de l’enquête. Toutefois, la nature de la cyberattaque n’invite pas à l’écarter définitivement.

[Article original, le 13 septembre 2022 @13h22] Surprise, ce matin, derrière les portes de l’école nationale supérieure des ingénieurs en arts chimiques et technologiques (ENSIACET) : un panneau (voir photo) daté du 13 septembre à 9h15 annonce qu’est survenue une « cyberattaque d’ampleur ». Et de préciser qu’en conséquence, plusieurs services numériques sont inaccessibles : « Internet, Wifi, accès logiciels métiers, accès aux données ». Le contrôle d’accès aux locaux est également signalé comme « défaillant ».

De l’extérieur, de nombreux services numériques accessibles normalement sur Internet sont aujourd’hui aux abonnés absents. Mais cela ne vaut pas que pour l’ENSIACET. 

Les sites Web de l’institut national polytechnique de Toulouse (Toulouse INP), de l’école nationale supérieure d’électrotechnique, d’électronique, d’informatique, d’hydraulique et des télécommunications (ENSEEIHT) et de l’école nationale supérieure agronomique à Toulouse (ENSAT) s’avèrent également inaccessibles.

Photo du panneau d'information à l'entrée de l'ENSIACET.
Panneau d'information à l'entrée de l'ENSIACET.

L’examen de plusieurs services numériques exposés habituellement sur Internet fait ressortir une infrastructure au moins partiellement mutualisée. Mais même les portails d’accès aux environnements virtualisés de Toulouse INP s’avèrent inaccessibles au moment où nous publions ces lignes.

Nous n’avons pas, pour le moment, réussi à joindre la présidence et le service communication de Toulouse INP. Nous mettrons à jour cet article à mesure que des éléments nouveaux nous parviendront. 

Région, secteur d’activité, étendue de l’impact, à ce stade cette cyberattaque rappelle celle dont a été victime, début mars, l’école nationale de l’Aviation Civile (ENAC). Là, c’est le ransomware Hive qui avait été employé.

Pour approfondir sur Menaces, Ransomwares, DDoS

Close