Pendant longtemps, il n'y a eu aucune déclaration de Continental sur la cyberattaque, le vol de 40 To de données et la demande de rançon de 50 puis 40 millions de dollars. Continental clarifie maintenant ce qui s'est passé et comment réagir.
L'attaque réelle contre Continental a probablement eu lieu en août 2022. À ce moment-là, Continental a annoncé que tout allait bien. On annonça que l'attaque avait été remarquée et conjurée. Mais loin de là : les hackers étaient probablement encore sur le réseau Continental à l'époque ou y avaient encore accès. Dans les opérations quotidiennes, plus de 40 To de données ont été extraites sur une période de temps inconnue, sans que Continental ne s'en aperçoive.
Continental fournit désormais des informations publiques
Continental annonce maintenant : « Continental a été ciblé par des cybercriminels. L'entreprise a évité l'attaque début août et restauré l'intégrité de ses systèmes informatiques. Les activités commerciales de Continental n'ont jamais été affectées. L'enquête sur l'incident a entre-temps révélé que les attaquants ont également pu voler une partie des données des systèmes informatiques touchés, malgré les précautions de sécurité établies. L'enquête, menée avec le soutien d'experts externes en cybersécurité, ainsi que l'analyse des données sont actuellement en cours et sont menées avec la plus haute priorité.
Court cours de vol de données
L'entreprise elle-même décrit comment certaines étapes de la cyberattaque se sont déroulées. Voici une version abrégée :
- 4 août 2022 : Continental commence immédiatement à enquêter sur l'affaire. L'entreprise travaille également avec des experts externes.
- L'attaquant a pris contact avec Continental à la mi-septembre. Continental a ensuite coupé le contact avec les assaillants.
- Le 9 novembre 2022, l'attaquant a proposé de supprimer ou de vendre les données pour 50 millions de dollars sur le dark web. Ce montant a été réduit à 29 millions de dollars le 2022 novembre 40.
- De plus, le 10 novembre 2022, l'attaquant a publié une liste des données qu'il dit avoir en sa possession. Aucun contenu de fichier détaillé ne sera publié.
- Continental suppose actuellement une fuite de données de plus de 40 To. Aucun contenu de fichier n'a été publié pour le moment.
- Continental n'a actuellement aucune indication que des données ont été manipulées ou que des produits ont été compromis.
- Continental travaille avec une société d'audit renommée pour l'analyse de données assistée par la technologie.
Pas de paiement de rançon - conseils du BSI
De plus, la direction de l'entreprise déclare que "Continental n'acceptera pas les paiements de rançon. Payer une rançon ne ferait qu'aider à continuer à financer les attaques contre la sécurité des infrastructures critiques telles que les alimentations électriques et les hôpitaux, les établissements d'enseignement et l'économie. Avec cette attitude, l'entreprise suit également les recommandations existantes de l'Office fédéral de la sécurité de l'information (BSI), de l'Office fédéral de la police criminelle (BKA) et du gouvernement fédéral.
Pourquoi personne n'a remarqué ?
Selon Continental, ce n'est pas inhabituel, car l'expérience a montré que les attaques de ransomwares restent non détectées pendant plusieurs mois en moyenne. "L'une des raisons à cela est que les grandes entreprises en particulier échangent beaucoup de données, et un transfert de données d'environ 40 To, comme dans le cas présent, n'est pas immédiatement significatif." D'autres rapports indiquent que la société déplace environ 200 To par jour. Dans le même temps, la poursuite de l'évaluation médico-légale prendra encore un certain temps, car "en raison de la quantité potentielle de données (plus de 55 millions d'entrées de fichiers), l'analyse des données prendra probablement plusieurs semaines".
Comment les hackers sont-ils entrés dans Continental ?
La société déclare: «L'enquête sur la cyberattaque est toujours en cours, y compris l'enquête sur l'endroit où les attaquants ont pu commencer. Les premières découvertes suggèrent que les attaquants ont eu accès aux systèmes de Continental en utilisant un logiciel malveillant déguisé exécuté par un employé." Selon divers médias, un employé aurait installé un navigateur non autorisé. Cela contenait déjà un code malveillant ou conduisait à une source correspondante. Pourquoi un employé a le droit d'installer un logiciel n'a pas été répondu.
Quelles sont les conséquences économiques ?
Continental se demande également quelles conséquences économiques la cyberattaque pourrait avoir sur Continental. La réponse à cette question n'est que succinctement "Il n'y a actuellement aucun autre détail disponible sur les conséquences possibles." Cependant, les autres entreprises ne doivent pas voir les choses aussi simplement. Parce que les données volées auraient également dû inclure des documents de Mercedes, BMW et VW. Si les développements de produits ou d'autres choses sont ainsi mis en danger ou si des données parviennent à des concurrents, cela pourrait avoir d'autres répercussions pour Continental.
Un commentaire de Michael Pietsch de Rubrik
L'équipementier automobile Continental a été victime d'une attaque par ransomware. Le cas montre à quel point il est important d'utiliser des solutions de sécurité qui surveillent en permanence le réseau et déclenchent une alarme en cas d'irrégularités.
« À cette fin, les organisations peuvent apprendre quelque chose du cas de Continental. Le groupe n'a remarqué que des mois après la découverte de l'attaque du pirate qu'une grande quantité de données avait été volée sur le réseau. Pour y remédier, il existe des solutions de sécurité qui surveillent en permanence le réseau et déclenchent une alarme en cas d'irrégularités. Cela permet une action rapide et évite les effets de grande envergure.
C'est pourquoi les experts en cybersécurité recommandent de construire la sécurité des données autour de trois piliers : la résilience des données, la visibilité des données et la récupération des données. Les utilisateurs atteignent la résilience grâce à des copies de sauvegarde non modifiables de leurs données. Les données immuables sont intouchables et ne peuvent pas être chiffrées par des pirates. La visibilité est garantie par une surveillance constante de tous les flux de données.
Cela implique également de savoir à tout moment qui a accès à quelles données et quand elles ont été utilisées. Ces informations peuvent être utilisées pour identifier et arrêter les activités suspectes. Les sauvegardes sont utilisées pour restaurer des données importantes. S'ils sont stockés dans un endroit sûr et sont rapidement disponibles, les victimes d'une attaque de ransomware peuvent être en mesure de remettre leurs systèmes en ligne en temps opportun. Ceux qui adhèrent à ces principes peuvent minimiser les risques et les dommages potentiels d'une cyberattaque. donc Michael Pietsch de Rubrik.
Plus sur Continental.com