Une entreprise de services aéroportuaires déjoue une tentative de braquage de ransomware

La société de services aéronautiques Swissport, qui opère dans plus de 300 aéroports à travers le monde, traitant plus de 280 millions de passagers et près de cinq millions de tonnes de fret par an, a déclaré avoir réussi à contenir une attaque de ransomware sur ses systèmes qui a retardé un petit nombre de vols en provenance de l’aéroport de Zurich, mais qui a eu un impact limité.

L’attaque, perpétrée par un acteur non divulgué, a eu lieu tôt le matin du jeudi 3 février, mais semble avoir peu nui à la capacité de l’entreprise à mener ses opérations quotidiennes – qui comprennent la manutention du fret et des bagages, le contrôle de sécurité des passagers, l’entretien et le nettoyage des installations et les services d’accueil.

Dans un communiqué diffusé vendredi 4 février sur le réseau social Twitter, Swissport a confirmé qu’une partie de son infrastructure avait fait l’objet d’une attaque, mais qu’elle avait été « largement contenue ».

Peu après 10 heures le samedi 5 février, un porte-parole de l’organisation a posté: « L’incident de sécurité informatique à Swissport a été contenu. L’infrastructure affectée rapidement mise hors ligne. Des solutions de contournement manuelles ou des systèmes de secours ont sécurisé le fonctionnement à tout moment. Le nettoyage et la restauration complets du système sont en cours. Nous nous excusons pour tout inconvénient. »

La résolution apparemment rapide de cette cyberattaque particulière suggère que Swissport a mis en place des mesures appropriées d’atténuation et de protection contre les ransomwares, y compris, surtout, la capacité de restaurer avec succès ses systèmes à partir de sauvegardes sans compromis.

L’attaque est survenue à la fin d’une semaine particulièrement active pour des acteurs malveillants ciblant les opérateurs de ce que l’on appelle les infrastructures nationales critiques (CNI), en Europe, avec de multiples cibles dans l’industrie pétrolière également touchées, entraînant une certaine perturbation des chaînes d’approvisionnement en carburant, et soulevant des questions sur la provenance des attaques et la possibilité de liens avec des groupes soutenus par la Russie compte tenu de la crise ukrainienne en cours – bien que cela ne soit pas prouvé.

« Il s’agit de la troisième attaque en une semaine contre des fournisseurs européens d’infrastructures critiques », a déclaré Andy Norton, responsable européen des cyber-risques chez Armis. « Les attaques se sont concentrées sur les services informatiques auxiliaires qui entourent le système ou le service de production. On ne sait pas si la recrudescence des attaques est liée aux événements géopolitiques actuels. Cependant, les fournisseurs de services critiques devraient immédiatement examiner la pertinence de leurs évaluations des risques liés aux cybermenaces, en mettant l’accent sur la criticité des systèmes informatiques auxiliaires qui ont une connectivité accrue et sur le potentiel d’impact sur la production et la prestation de services OT et ICS.

Sam Curry, responsable de la sécurité chez Cybereason, a ajouté: « Ce que nous savons, c’est que Swissport transporte plus d’un quart de milliard de passagers par an, et si un groupe de pirates déterminé et bien financé est intéressé à mener une campagne d’espionnage pour prendre le dessus sur la scène mondiale, les compagnies aériennes sont des cibles de choix.

« Une tendance croissante étudiée par les chercheurs de Cybereason est l’augmentation des attaques mondiales où des ransomwares sont utilisés contre des cibles après l’exfiltration de données afin d’infliger des dommages aux systèmes et d’entraver les enquêtes médico-légales », a-t-il déclaré.

« Les industries des infrastructures critiques, y compris l’industrie du transport aérien, ont des cibles sur le dos et font face à un attaquant implacable et persistant. »