Les entreprises nordiques visées par une vague de cyberattaques

Les entreprises nordiques intensifient leurs défenses de réseau informatique après une série de cyberattaques malveillantes, culminant en décembre 2021, contre un certain nombre des plus grands groupes industriels et de services de la région.

Vestas Wind Systems, Amedia, Nortura et Nordic Choice Hotels figuraient parmi les cibles de cette dernière vague de cyberattaques, qui s’est matérialisée alors que les gouvernements nordiques annonçaient une augmentation des dépenses dans leur appareil de sécurité nationale pour renforcer l’infrastructure de cyberdéfense.

L’attaque agressive de virus ransomware sur les hôtels Nordic Choice Hotels (NCH) basés à Oslo en décembre a perturbé les systèmes informatiques de réservation, de paiement et d’enregistrement en ligne de la société de loisirs. L’attaque a touché les réseaux informatiques et les postes informatiques de la chaîne de 200 hôtels de NCH en Norvège, en Suède, en Finlande, au Danemark et en Lituanie.

L’attaque de ransomware lancée contre Vestas Wind Systems (VWS) le 19 novembre a affecté les systèmes internes de la société danoise et a entraîné une violation des données personnelles. Les pirates ont non seulement réussi à capturer des données à partir de systèmes de partage de fichiers internes compromis, mais ont également publié des informations personnelles, y compris des contrats de travail, sur le dark web.

« L’acteur de la menace a échoué dans sa tentative d’extorquer Vestas », a déclaré Henrik Andersen, PDG de VWS. « Malheureusement, les attaquants ont réussi à voler des données à Vestas, et ces données ont été illégalement partagées à l’extérieur. Pour atténuer cette situation, nous travaillons d’arrache-pied pour identifier toute fuite de données et collaborerons avec les parties prenantes et les autorités concernées. »

VWS a collaboré avec des partenaires externes en cybersécurité pour rétablir les opérations normales après l’attaque. Parallèlement à son enquête médico-légale sur la cyberattaque, la société a également commencé à renforcer ses systèmes informatiques et son infrastructure informatique pour parvenir à une restauration complète de tous les systèmes d’ici la mi-décembre.

« Nous avons été soulagés que l’attaque n’ait pas eu d’impact sur les opérations des éoliennes, et la plupart de nos systèmes informatiques étaient à nouveau opérationnels peu de temps après l’attaque. Nous avons encore beaucoup de travail devant nous. Nous devons rester extrêmement diligents face aux cybermenaces », a déclaré Andersen.

« Nous avons été soulagés que l’attaque n’ait pas eu d’impact sur les opérations des éoliennes, et la plupart de nos systèmes informatiques étaient à nouveau opérationnels peu de temps après l’attaque. Nous avons encore beaucoup de travail devant nous. Nous devons rester extrêmement diligents face aux cybermenaces »

L’attaque virale contre NCH, le plus grand groupe hôtelier et de loisirs de la région nordique, a été lancée le 2 décembre. Les pirates ont réussi à paralyser, infecter et chiffrer un nombre non divulgué de machines, forçant NCH à accélérer le rythme d’un projet nouvellement déployé pour convertir plus de 4 000 ordinateurs utilisant Microsoft Windows pour fonctionner sur Google Chrome OS.

L’unité technologique de NCH, en collaboration avec des experts internes et externes en cybersécurité informatique, a réussi à convertir 2 000 ordinateurs en Chrome OS dans les 24 heures suivant l’attaque, permettant à l’entreprise de maintenir des opérations de base telles que les réservations, l’enregistrement et le départ, ainsi que les solutions de paiement.

« Nous étions déjà engagés dans le projet pilote visant à convertir nos ordinateurs Microsoft Windows en Google Chrome OS lorsque l’attaque s’est produite. Nous avons décidé de recentrer les ressources pour accélérer le projet Chrome OS, qui est lié à notre rentabilité et à notre CO₂ programmes de réduction. Nous avons pu nettoyer toutes les machines du virus et installer la solution CloudReady de Google », a déclaré Kari Anna Fiskvik, vice-présidente de la technologie chez NCH.

En obtenant le soutien médico-légal de l’Autorité norvégienne de sécurité nationale (Nasjonal Sikkerhetsmyndighet), NCH a pu identifier le virus informatique comme étant l’œuvre du groupe de ransomware Conti. Bjørn Arild Wisth, directeur général adjoint de NCH, a déclaré que la société avait pris la décision de ne pas contacter ou répondre à toute demande de rançon.

« Au cours du week-end de l’attaque, nous avons réussi à mettre en œuvre des solutions alternatives dans la plupart de nos hôtels. L’objectif était de ramener le personnel à des opérations normales, un objectif que nous avons atteint dans les jours qui ont suivi la cyberattaque », a déclaré Wisth. « Nos enquêtes médico-légales ne révèlent pas, actuellement, que les données de l’attaque ont été divulguées, mais nous ne pouvons pas l’exclure. »

Le ransomware Conti, qui a été observé pour la première fois en 2020, est particulièrement agressif envers toutes les versions de Microsoft Windows. Après avoir violé un système informatique, le virus Conti tentera de supprimer les clichés instantanés de volume et de mettre fin à des services importants à l’aide du Gestionnaire de redémarrage pour lui permettre de chiffrer les fichiers. Conti est également destiné à désinstaller l’application Windows Defender sur les ordinateurs.

NCH estime que sa décision de changer le logiciel au lieu du matériel sur son réseau informatique, qui comprend 4 000 computer machines, permettra à l’entreprise d’économiser environ 60 millions de NOK (6 millions d’euros).

La cyberattaque contre Nortura le 21 décembre a forcé la société norvégienne de transformation de la viande à fermer l’ensemble de son système informatique avant une enquête médico-légale et le nettoyage des ordinateurs connectés au système informatique central de l’entreprise.

Nortura a détecté l’attaque à un stade précoce et a pu limiter les dommages à son système informatique en fermant l’accès à Internet, a déclaré la PDG Anne Marit Panengstuen. L’action rapide a empêché les pirates de capturer des données ou de chiffrer les fichiers du système d’exploitation.

« Les cybermenaces sont de plus en plus courantes en général et nous continuons d’investir pour protéger notre entreprise contre les mauvais acteurs. Nous avons de bons plans d’urgence, qui ont été activés lorsque nous avons pris connaissance de l’attaque », a déclaré Panengstuen. « Nous avons également eu un élément de chance de notre côté puisque nous avions mené un exercice de contingence en cybersécurité des TI en 2021 qui était basé sur un profil de menace similaire. »

« Les cybermenaces sont de plus en plus courantes en général et nous continuons d’investir pour protéger notre entreprise contre les mauvais acteurs. Nous avons de bons plans d’urgence, qui ont été activés lorsque nous avons pris connaissance de l’attaque. »

Les protocoles de cybersécurité de secours de Nortura ont été utilisés pour déterminer si les ordinateurs du système informatique du groupe avaient été compromis. Un nettoyage complet a été effectué avant que le système informatique central, qui soutient les usines de transformation de la viande de Nortura à travers la Norvège, ne soit entièrement restauré le 10 janvier 2022.

Amedia, la maison d’édition de 80 journaux locaux en Norvège, a été la cible d’une attaque de virus ransomware le 28 décembre. L’attaque a forcé l’entreprise à mettre hors ligne son système informatique central et ses installations de production. Bien qu’Amedia ait suspendu la publication de ses éditions imprimées, la société a continué à publier ses journaux en ligne après qu’une analyse médico-légale de l’attaque a été menée et que la valeur de la menace pour les opérations de base a diminué.

« Il s’agissait d’une attaque virale classique contre rançon », a déclaré Pål Nedregotten, responsable des données et de la technologie chez Amedia. « Les pirates ont cherché à perturber notre capacité à publier et à fonctionner tout en essayant de désactiver nos systèmes de publicité et d’abonnement. Nous mettons régulièrement en œuvre des mesures de cybersécurité complètes pour limiter les dommages causés par de telles attaques. Ces mesures visent à rétablir les opérations normales le plus rapidement possible. Les problèmes découlant de l’attaque étaient principalement limités aux systèmes gérés par notre société informatique centrale, Amedia Teknologi. Les autres systèmes d’Amedia ont fonctionné normalement. »

Les pirates ont cherché à capturer des données personnelles dans le système d’abonnement d’Amedia, qui contient les noms, adresses, numéros de téléphone et historique d’abonnement des abonnés privés et professionnels. D’autres données, telles que les mots de passe de connexion au compte, l’historique de lecture et les informations de carte bancaire, n’ont pas été compromises lors de l’attaque, a déclaré Nedregotten.

« Les enquêtes se poursuivent, mais pour le moment, nous n’avons aucune information selon laquelle des données personnelles ont été publiées ou utilisées à mauvais escient de quelque manière que ce soit », a ajouté Nedregotten.