Shutter2U - stock.adobe.com
Ecosystem se dit victime du ransomware Akira
L’entreprise d’intérêt général spécialiste du prolongement de la vie des équipements électriques et électroniques explique avoir été victime d’une cyberattaque impliquant le rançongiciel Akira, mi-janvier, après exploitation d’une vulnérabilité connue.
Dans une publication datée du 17 janvier, Ecosystem indique avoir subi, le matin même, une cyberattaque impliquant un ransomware.
L’entreprise assure alors que « la réactivité de nos équipes techniques, appuyées par ses prestataires experts, a permis de contenir les impacts de l’attaque », tout en concédant que « des serveurs à usage interne ont été impactés ».
Et Ecosystem d’ajouter : « les applications et sites web qui nous permettent de travailler avec vous, préventivement stoppés et isolés pendant le temps des investigations, sont en cours de réouverture progressive ».
Un peu moins d’une semaine plus tard, le 23 janvier, le nom du rançongiciel utilisé contre l’entreprise est ouvertement précisé : Akira. Ecosystem indique n’avoir pas pris contact avec les cybercriminels. Dès lors, impossible pour l’entreprise d’indiquer le montant attendu par ceux-ci.
Dès le lendemain, certains services en ligne sont rouverts. La messagerie électronique est de nouveau utilisable le 6 février.
L’effort de transparence d’Ecosystem ne s’arrête pas là : ce lundi 12 février, l’entreprise précise le vecteur utilisé pour l’attaquer, « il exploite une faille de sécurité de type zero-day sur l’un de nos VPN et a touché exclusivement notre environnement bureautique ».
Les enregistrements DNS d’Ecosystem font ressortir un serveur VPN SSL Cisco ASA, vu pour la dernière fois par Shodan le 16 janvier.
Les membres du groupe Akira sont connus pour exploiter la vulnérabilité CVE-2023-20269 affectant ces serveurs VPN depuis… la fin du mois d’août 2023.
La franchise Akira est apparue au mois de mars 2023. Depuis l’été dernier, elle est ouvertement considérée comme liée à Conti. Arctic Wolf, en particulier, s’appuie sur l’analyse de la blockchain du bitcoin pour « estimer avec un haut degré de confiance que certains acteurs malveillants affiliés à Conti sont liés au groupe de ransomware Akira ».
Une série de négociations impliquant Akira fait également ressortir une organisation et une structuration des négociations qui n’est pas sans rappeler Conti : deux scripts distincts sont clairement discernables. Ce genre de signes distinctifs avait également été observé entre Quantum et Conti.