fotomay/Getty Images
Cyberattaque : Coaxis se remet du passage de LockBit
L’ensemble des machines affectées par la cyberattaque de la semaine dernière a été restauré. Le ransomware LockBit est impliqué, mais le vol de données s’avère très limité.
[Mise à jour, le 14 décembre 2023 @ 16h15] Dans un échange téléphonique avec la rédaction, Joseph Veigas, directeur général de Coaxis, confirme l’implication du ransomware LockBit 3.0 dans la cyberattaque subie en fin de semaine dernière. Bonne nouvelle, le volume de données volées avant le déclenchement du chiffrement s’avère « faible ». Il ne s’agit en outre que de « données techniques », liées à l’infrastructure de Coaxis.
Coaxis a été accompagné dans cette épreuve par Orange Cyberdéfense. Joseph Veigas s’engage à partager les conclusions des investigations avec les clients qui le souhaiteront. Dans un communiqué publié sur LinkedIn, Coaxis indique que « l’ensemble des machines compromises suite à l’attaque du rançongiciel ont été restaurées » et que la remise en route progressive des services est engagée.
[Article original, le 11 décembre 2023] Dès le 8 décembre, Joseph Veigas, directeur général de Coaxis, indique publiquement que l’entreprise de services numériques (ESN) a subi « un incident majeur sur [son] infrastructure informatique ». Celui-ci est survenu dans la nuit.
Le lendemain, il explique que les « actions menées par [ses] équipes techniques » ont conduit à conclure « à un incident de sécurité sur [son] système d’information ». En outre, « les investigations sont toujours en cours afin d’évaluer les impacts » et, surtout, « les analyses se poursuivent sur l’ensemble de [ses] systèmes afin de couvrir tous les risques et de préparer la réouverture progressive de nos services ».
Le même jour, Joseph Veigas confirme l’implication d’un rançongiciel et précise que « la quasi-totalité [des sauvegardes] a été vérifiée ». Bonne nouvelle : elles s’avèrent « intègres et fonctionnelles ».
Ce dimanche 10 décembre, il indique, sur LinkedIn, que ses équipes « sont désormais clairement positionnées sur la phase de reconstruction ». Mais il tempère : « ce qu’il faut savoir c’est que nous devons être totalement certains que les infrastructures que nous reconstruisons sont exemptes d’éléments non sollicités ».
Ses équipes ne sont pas seules : elles « bénéficient également depuis les premières minutes de l’accompagnement et l’assistance de spécialistes de ce type de situation avec lesquels nous avons des relations privilégiées. Ces derniers nous amènent l’expérience de situations identiques qui ont pu être résolues avec succès ».
Dans la foulée, Joseph Veigas insiste : « il nous est impensable d’ouvrir les services sans s’être assuré de la sécurité de ces derniers ». Il faudra donc faire preuve de patience : « la journée de demain sera importante pour l’établissement du calendrier de reprise. Nous continuerons à vous tenir informés à chacune de nos avancées ».
Nous avons directement sollicité Joseph Veigas et ne manquerons pas de mettre à jour cet article, quand nous nous serons entretenus avec lui.
Le groupe Coaxis propose notamment des services d’hébergement et d’infogérance. Il a notamment obtenu la certification hébergeur de données de santé (HDS). Parmi ses clients, on compte notamment des laboratoires d’analyses médicales et des établissements de soins.
Encore Citrix Bleed ?
Le ransomware impliqué dans l’attaque n’est pas, à ce stade, ouvertement précisé. Mais les données d’Onyphe laissent à voir deux systèmes Citrix encore affectés par la vulnérabilité dite Citrix Bleed (CVE-2023-4966), au 6 décembre.
Allen & Overy, Boeing, DP World Australia, et ICBC ont tous les quatre exploité un système Citrix NetScaler affecté par la vulnérabilité CVE-2023-4966. Tous les quatre ont été victimes de cyberattaque. Pour trois d’entre eux, à l’heure où sont écrites ces lignes, la cyberattaque a impliqué la franchise mafieuse LockBit 3.0.
Les données du moteur de recherche spécialisé Onyphe ont fait ressortir des systèmes affectés par la vulnérabilité Citrix Bleed chez quatre autres victimes revendiquées depuis mi-octobre sur la vitrine de LockBit 3.0 : PSMI, CTC, Alphadyne Asset Management, MICROSERVE Informations-Management GmbH et Sabre. Ce dernier a indiqué avoir été attaqué le 16 novembre.
Selon ReliaQuest, au moins quatre groupes misent actuellement sur l’exploitation de cette vulnérabilité pour conduire leurs cyberattaques. Le ransomware LockBit ne serait pas le seul impliqué ; il faudrait également compter avec Medusa.
Après un mois de septembre particulièrement brutal, le secteur de la santé, en France, a connu des mois d’octobre et de novembre plus tempérés, avec un nombre de compromissions et de déclenchements de rançongiciel dans une fourchette qui s’apparente peu ou prou à une norme, à moins de 10 compromissions constatées, et moins de 5 cas de ransomware.