La cyberattaque sur Channel Nine a toutes les caractéristiques des ransomwares, sans rançon
Les experts en sécurité affirment que la cyberattaque lancée contre Nine Entertainment porte les caractéristiques d’une tentative d’extorsion de ransomware, mais l’absence de demandes suggère que les pirates informatiques recherchaient des données sensibles de l’entreprise ou tentaient de perturber ses services multimédias.
L’attaque qui a frappé Nine dimanche visait son activité de radiodiffusion télévisuelle et non sa branche d’édition. Cependant, les mesures mises en place pour l’empêcher de se répandre ont continué d’affecter l’entreprise, y compris la production imprimée de ses journaux, notamment L’âge et Le Sydney Morning Herald. Un certain nombre de services internes continuent d’être perturbés, notamment la mise en page, le chargement d’images et de graphiques. La production et l’accès aux sites Web d’information n’ont pas été affectés.
Nine Entertainment a fermé de nombreuses parties de son réseau d’entreprise pour empêcher l’attaque de se propager.Crédit:Joe Armao
Le chercheur indépendant en sécurité Troy Hunt a déclaré que les détails ressemblaient à une attaque de ransomware – où les criminels chiffrent les données pour les rendre inaccessibles, puis demandent de l’argent pour les déverrouiller. Mais neuf sources ont indiqué que personne ne s’était encore manifesté pour revendiquer la responsabilité des attentats ou pour formuler des demandes. «Une fois que vous commencez à affecter la disponibilité, c’est tout le MO du ransomware; rendre les choses indisponibles tant que vous n’avez pas payé l’argent », a déclaré M. Hunt.
«En particulier au cours de l’année dernière, nous avons également vu des attaques de ransomwares où ils ne chiffrent plus seulement les fichiers, mais prennent une copie des fichiers. [for extortion]. Mais aucune rançon n’a été versée, donc je ne sais pas si cela en fait un ransomware. «
Une source informée de l’incident a déclaré qu’un comportement inhabituel avait été détecté pour la première fois à Nine dimanche matin, certains ordinateurs semblant travailler beaucoup plus dur que ce à quoi on pourrait normalement s’attendre. L’attaque a perturbé les émissions de télévision en direct, car les travailleurs qui arrivaient et se connectaient trouvaient que leurs machines ne répondaient pas.
La société a depuis engagé des sociétés de criminalistique et de récupération et pense maintenant que l’attaquant a utilisé Nine systèmes pour envoyer des mises à jour frauduleuses aux ordinateurs des travailleurs. Ces mises à jour ont chiffré les données et ont rendu les machines insensibles.
Aaron Bugal, ingénieur en solutions globales chez la société de cybersécurité Sophos, a déclaré que le cryptage indiquait souvent la fin d’une attaque, pas le début d’une attaque. «Les attaquants ont déjà passé beaucoup de temps au sein de ces réseaux, à filtrer les informations, à examiner les systèmes, à accéder à des appareils dans lesquels ils ne devraient pas se trouver.»
Il a ajouté que l’absence de demande de rançon pourrait indiquer que les attaquants recherchaient des informations sensibles. «Généralement, la plupart des attaquants recherchent une sorte de retour immédiat sur leur investissement en temps, comme demander un paiement en bitcoin. Une attaque destructrice comme celle-ci sans extorsion est tout à fait différente », a-t-il déclaré.
«Je ne serais pas surpris si le vol et l’exfiltration de données d’informations, d’informations que cette société détenait étroitement, avaient lieu, et qui sait où cela va se passer ensuite.»