Une cyberattaque avec un ransomware a eu lieu le 30.10.2023 octobre 72 contre le prestataire de services informatiques Südwestfalen-IT. Le fournisseur fournit entre autres des services informatiques à 2 communes, complètement paralysées depuis près de deux semaines. Il existe désormais de premiers résultats, même s’ils ne sont pas particulièrement bons.
Le fournisseur informatique SIT – Südwestfalen-IT informe tous les clients et communautés de l'évolution de la cyberattaque par ransomware via un site Internet d'urgence. Parmi les personnes concernées figurent les 72 communes membres de la zone d'association du sud de la Westphalie, dont les districts du Hochsauerlandkreis, du Märkischer Kreis, d'Olpe, de Siegen-Wittgenstein, de Soest et plusieurs communes du Rheinisch-Bergisches Kreis.
Afin d'empêcher la propagation du malware au sein du réseau, les connexions du centre de données vers et depuis toutes les communes de l'association ont été coupées.. En conséquence, les administrations ne sont actuellement pas en mesure d’accéder aux procédures et infrastructures spécialisées fournies par le SIT et sont sévèrement limitées dans leurs services aux citoyens.
Akira Ransomware serait l'attaquant
Le Spiegel rapporte actuellementque le Siegener Zeitung dispose d'une lettre confidentielle du ministère de l'Intérieur au parlement du Land. Le groupe APT Akira serait désigné comme l'attaquant. Le Akira Group n'existe que depuis mars 2023 actif, mais attaque de nombreuses entreprises. Cependant, aucune référence n'est faite à l'attaque sur la page de fuite du groupe Akira, dont les groupes aiment généralement se vanter.
Le ransomware utilisé est un malware sophistiqué qui vise à crypter les fichiers du système d'une victime, à supprimer les clichés instantanés et à fournir des instructions pour payer la rançon et récupérer les données. Il utilise des algorithmes de cryptage, des critères d'exclusion et un système de communication basé sur TOR pour réaliser des opérations malveillantes.
Premières analyses médico-légales
Selon ses propres informations, Südwestfalen-IT (SIT) a achevé la première phase d'analyses médico-légales des systèmes concernés et utilise désormais les connaissances acquises pour examiner tous les systèmes clients de manière systématique. En outre, Südwestfalen-IT finalisera, en collaboration avec les membres de l'équipe de crise élargie, une priorisation des procédures spécialisées à rétablir d'ici la fin de cette semaine. Elle souhaite alors entamer la restauration progressive des systèmes.
Premières solutions de contournement seulement la semaine prochaine
Südwestfalen-IT est convaincu que les premières solutions de contournement pourront être introduites la semaine prochaine afin que les citoyens puissent à nouveau utiliser au moins temporairement certains services publics. Cependant, le prestataire de services s’attend déjà à des temps d’arrêt beaucoup plus longs.
Les communautés s'aident comme elles peuvent. Car tout le système informatique est paralysé, y compris les pages d’accueil des voyages terrestres. Voici une courte liste de sources d’information disponibles dans chaque district. De nouveaux numéros de téléphone peuvent également y être trouvés.
- Arrondissement du Haut Sauerland – informé via Facebook
- Arrondissement de Märkischer - informé via Facebook
- Siegen-Wittgenstein/Olpe – informé via la page d'accueil d'urgence kreissiwi.de
- Soest – informé via Facebook
- Lüdenscheid – informé via la page d'accueil d'urgence www.luedenscheid.de
Articles liés au sujet
Plus sur Sophos.com