$50m ransomware demande sur Acer est le plus élevé jamais

Une demande ransomware de 50 millions de dollars faite contre le fabricant de PC Acer par le syndicat de cybercriminalité REvil / Sodinokibi semble être le plus élevé jamais fait.

Les détails de la cyberattaque de double extorsion record ont vu le jour pour la première fois le 18 mars, avec des données financières exfiltrées de l’entreprise taïwanaise par le gang REvil publiées sur son site web sombre après l’échec des premières négociations.

Enquêtes ultérieures menées par les sites sœurs d’Computer Weekly LeMagIT ( LeMagIT ) Et RechercheSécurité sont crédités d’avoir découvert la demande ransomware pour l’équivalent de 50 millions de dollars, à payer dans la crypto-monnaie monero.

D’après LeMagIT, le gang avait offert un rabais de 20 % sur sa demande initiale à condition que l’argent soit remis avant le 17 mars. Les négociateurs d’Acer avaient apparemment offert 10 millions de dollars. Au moment d’écrire ces lignes, le gang a donné à Acer jusqu’au 28 mars pour payer, et la demande de rançon doublera.

« Acer surveille régulièrement ses systèmes informatiques, et la plupart des cyberattaques sont bien défenses », a déclaré Acer dans un communiqué.

« Des entreprises comme nous sont constamment attaquées, et nous avons signalé des situations anormales récentes observées aux autorités compétentes chargées de l’application de la loi et de la protection des données dans plusieurs pays.

« Nous avons constamment amélioré notre infrastructure de cybersécurité afin de protéger la continuité des activités et notre intégrité de l’information. Nous exhortons toutes les entreprises et organisations à adhérer aux disciplines et aux meilleures pratiques en matière de cybersécurité, et à être vigilantes face à toute anomalie d’activité réseau.

Séparément BleepingComputer l’enquête sur l’attaque suggère que le gang REvil pourrait avoir réussi à armer les vulnérabilités proxylogon de Microsoft Exchange afin d’accéder au réseau d’Acer.

Bien que des infections limitées d’une nouvelle souche de ransomware – DearCry – ont été observés en cours via ProxyLogon, ce serait la première divulgation publique d’une opération ransomware majeur exploiter les vulnérabilités, qui laissent sur place Microsoft Exchange Servers ouvert à la prise de contrôle.

Joseph Carson, scientifique en chef de la sécurité chez Thycotic, a commenté : « Ce que nous voyons avec ransomware, c’est que les cybercriminels continuent d’abuser de l’accès privilégié, ce qui leur permet de voler des données sensibles et de déployer des ransomware malveillants.

« Cela signifie que les organisations devraient donner la priorité à l’accès privilégié en tant que mesure de sécurité de premier plan afin de réduire les risques liés aux ransomware et d’assurer des contrôles d’accès et un cryptage solides pour les données sensibles. »

Kelvin Murray, analyste principal de la recherche sur les menaces chez Webroot, a déclaré que l’ampleur de l’attaque contre une cible de premier plan reflétait sans aucun doute la sophistication croissante de la pègre cybercriminalité.

« Il s’agissait sans aucun doute d’une attaque méticuleusement planifiée qui a impliqué la recherche de cibles, le piratage professionnel et le cryptage impraticable, at-il dit. « Cinquante millions de dollars est une demande de rançon énorme, mais quand la victime est une entreprise à but lucratif, alors les gangs ransomware haut du monde peuvent se permettre d’être arrogant avec leurs demandes aussi. »

Richard Hughes, responsable de la cybersécurité technique au groupe informatique A&O, a commenté : « Les attaques ransomware sont une source majeure de revenus pour les cybercriminels, avec une énorme récompense pour très peu d’efforts. La demande de 50 millions de dollars est la plus élevée actuellement connue et, bien que choquante, ne fait que démontrer le potentiel que les auteurs voient dans cette forme d’attaque.

« Acer ne devrait pas envisager de payer cette rançon, car cela permettrait simplement de garder cela comme un modèle d’affaires viable. Il convient également de noter qu’il n’y a aucune garantie qu’une organisation sera en mesure de décrypter les données après avoir payé une rançon que ransomware ne passe pas par un contrôle de qualité strict et contient souvent des bugs qui peuvent empêcher la récupération réussie.

« Il est plus important que jamais d’effectuer des évaluations de sécurité régulières et de s’assurer que les derniers correctifs de sécurité sont testés et déployés dès qu’ils sont disponibles.  Les organisations devraient également envisager la conception de leur environnement pour aider à prévenir la propagation d’une attaque si le pire se produit.