Résumés des attaques de la semaine du 19 mai 2023

Bon, comme toutes les semaines je fais une explication d'une attaque basée sur un article.

Cependant, je suis tombé sur une..... compilation? d'attaques cette semaine, et ne sachant pas quoi faire de mieux, je décide de regrouper les attaques listées dans cet article, en fonction du secteur touché.

La santé :

Le groupe d'hôpitaux de Gesunbdheit Nord à Brême, en Allemagne. Ce groupe d'hôpitaux peuvent communiquer entre eux, possiblement grâce à un intranet, mais l'accès à Internet a été coupé, du à la découverte d'activités en internes étranges. Peut-être de l'espionnage ou du vol de données.

Le KD Hospital en Inde. Ici, c'est une attaque via un ransomware qui à bloqué l'accès à l'ensemble des services en ligne ainsi qu'aux données des patients. Une rançon de 70k (mille) dollars à été demandée, via des cryptomonnaies pour rendre cette transaction la plus intraçable possible.

Une enquête serai en cours pour trouver des failles dans le SI de l'hôpital, et le personnel médial se retrouve forcer a utiliser le papier pendant une journée entière, le temps que les serveurs soient de nouveaux fonctionnels.

Le OIAAI, Oklahoma Institute of Allergy Asthma and Immunology aux États-Unis. Cet institut sur les allergies et l'asthme a du fermer (temporairement ou définitivement, ce n'est pas précisé) a cause d'une violation de ses données relative à la sécurité. Pour le moment, on ne sais pas si des données de patients ont été touchées. L'attaque possible peut-être un malware via du phishing ou une attaque MiTM.

Informatique :

Le Group DIS en France. Cet info-géreur a été victime d'une attaque, causant la panne de plusieurs sites internet hébergés. Plusieurs erreurs sont répertoriées, comme une erreur de connexion à une base de données, ou des pages blanches (qui ont donc étés vidées de leurs contenus). Cette attaque est revendiquées par Alphv/BlackCat qui est un ransomware. On peut alors conclure que plusieurs bases de données ont été chiffrées, causant ces erreurs.

ScanSource aux États-Unis. Ce fournisseur de services informatiques a été ciblé par une attaque via un ransomware, qui a malheureusement réussie. Plusieurs systèmes, opérations commerciales et portails clients sont hors-services, causant des retards dans la fourniture de services aux clients, notamment en Amérique du Nord et au Brésil. L'entreprise a activée son plan d'intervention en cas d'incident et alerté les autorités pour une enquête.

Presse :

L'entreprise LACROIX a vu plusieurs de ces sites paralysés, notamment en France, en Allemagne et en Tunisie. Plusieurs mesures de sécurisations ont étés mises en places, et des investigations sont en cours pour assurer l'isolation de l'attaque (toujours présente, mais sur des machines isolées donc sans risque de propagation). Plusieurs systèmes ont été cryptés et les données sont analysées pour savoir lesquelles ont pu être exfiltrées (= volées) par les pirates.

Le journal The Philadelphia Inquirer aux États-Unis. Pour ce journal, c'est le service d'impression qui a fais défaut, conséquence d'une cyberattaque. Même si le journal ne pouvait pas être imprimé, il restait accessible sur Internet. Les systèmes n'ont pas encore pu être restaurés, et le FBI a été informé de l'incident.

Les journaux Südwest Press et le Heidenheimer Zeitung en Allemagne. Leurs sites internet ne sont plus accessibles pour personnes et les offres numériques sont à l'arrêt. La cause n'est pas encore identifiée, mais la cyberattaque reste envisageable. Les données personnelles des clients ne seraient pas affectées, car stockées sur des serveurs indépendants et la production physique n'est pas impactée.

Administrations Publiques :

La ville d'Ogden aux États-Unis. La mairie pense avoir été victime d'une attaque, mais n'apporte pas de détails supplémentaires. Cependant, un détail nous apporte une piste, le fais qu'elle invite ses habitants et fonctionnaires à ne pas ouvrir leurs mails, surtout avec des pièces jointes. On peut alors supposer une attaque via du phishing contenant un malware.

La CTM (Collectivité Territoriale de Martinique). Son site internet et ses services téléphoniques sont inaccessibles depuis une attaque, paralysant le fonctionnement de la collectivité. Une réunion de crise a été organisée pour débloquer l'accès. L'une des machines hébergeant les services a possiblement été mise hors-service après l'attaque, soit a cause d'un problème matériel ou logiciel, conséquence de l'attaque.

Les écoles publiques du comté de Franklin (Franklin County Public Schools) aux États-Unis. Victime d'une attaque par ransomware, les cours ont été annulés et des mesures proactives ont été prises pour limiter l'attaque. Une enquête avec le FBI et la police de l'État de Virginie est en cours.

Le Downs School en Grande Bretagne. L'accès internet à été coupé pendant 1 semaine, mais les cours ont été maintenus. Plusieurs acteurs ont été appelés pour rétablir les systèmes en toute sécurité, notamment le département de l'éducation, le conseil de West Berkshire, l'ICO (Information Commissioner's Office).

Autre :

Le groupe de transport Chemnitz City-Bahn et Verkehrs-AG en Allemagne. Ici, ce sont les sites internet qui ne sont plus accessibles, possiblement avec une attaque DOS (Deny of Service) ou un piratage qui a atteint et bloqué les accès aux sites, sur un routeur ou directement sur la machine hôte. En tout cas, des traces numériques ont été enregistrées et une enquête est ouverte.

Le cabinet d'avocats Buckley King LPA aux États-Unis. Une attaque par le ransomware BlackBasta. Environ 110 Go de données sensibles ont été volées et une rançon de 400k $ pour pouvoir les récupérer, sans garantis d'une copie pour une revente sur le marché noir, qui arrive très souvent...

Le cabinet a accepté de payer 150k $ et on ne sais pas s'il a bien récupérer ses données.

Le groupe Voyageurs du Monde en France. Ce groupe a perdu l'accès à internet suite à une attaque. cette attaque a possiblement ciblé un routeur ou un serveur DNS par exemple.

La chaîne de garages ATU en Allemagne. Le site internet n'est plus disponible et les appels téléphoniques ne fonctionnent pas depuis une cyberattaque. On peut supposer une attaque par Déni de service, ou un malware bloquant l'accès aux services.

Voici ma source :