Après deux jours supplémentaires, les sites Expresso et SIC Notícias sont de nouveau à l’antenne via https://expresso.pt et https://sicnoticias.pt, qui fonctionneront « provisoirement », selon la presse.
Interrogé pour savoir si ces attaques informatiques peuvent se propager à d’autres entreprises au Portugal, Pedro Leite, directeur responsable des opérations (COO) chez S21sec, répond que « le risque d’avoir une cyberattaque est permanent et toute entreprise pourrait subir une attaque de ‘ransomware' ». [Sequestro de informação /arquivo], n’étant qu’une question de temps jusqu’à ce que cela se produise ».
Le groupe Lapsus$, responsable de la cyberattaque contre Impresa, « a attaqué des entreprises brésiliennes au cours du mois de décembre, mais en menant cette attaque au Portugal, il peut effectivement tenter d’attaquer d’autres entreprises portugaises et, par conséquent, nous devons être vigilants » , se défend l’ administrateur .
« En tant qu’entreprise spécialisée dans la cybersécurité, S21sec recommande vivement aux entreprises portugaises d’améliorer leur posture en matière de cybersécurité, l’une des meilleures pratiques étant le développement de procédures de réponse aux incidents de ce type », souligne Pedro Leite.
Pour Rui Duro, « country manager » chez Check Point Software au Portugal, « le risque que ce type de situations impacte les entreprises portugaises a toujours existé ».
Actuellement, souligne-t-il, « une organisation au Portugal est attaquée en moyenne 947 fois par semaine, le ‘ransomware’ étant l’une des principales menaces ». En moyenne 1,7% d’entre eux « sont impactés par semaine par des ‘ransomwares' », et ce type d’attaques « a été généralisé et continuera de se propager par des entreprises au Portugal et dans le monde ».
« Pour l’instant, les cibles qu’ils ont attaquées n’ont aucune relation apparente entre elles, nous supposons donc que le groupe essaiera d’affecter les entreprises qui, une fois compromises, peuvent fournir cette » poussée médiatique « que le groupe semble rechercher », ajoute Marc Rivero. , l’équipe mondiale de recherche et d’analyse GReAT de l’analyste Kaspersky.
Concernant Grupo Lapsus$, on sait qu’il est actif depuis « début décembre et, à ce jour, c’est un nouvel ‘acteur’ sur le marché de la cybercriminalité, mais son activité est surveillée », précise Rivero,
« Grâce à notre département de cyber-intelligence, nous avons vérifié que ce groupe était actif depuis le 10 décembre 2021, date à laquelle ils ont mené une attaque contre le ministère de la Santé du Brésil », et « dans ce cas précis, ils avaient accès aux serveurs AWS du ministère , déclenchant l’attaque par l’exfiltration et l’élimination respective des données, permettant ensuite de demander une rançon pour sa récupération », explique Pedro Leite.
« Depuis lors, nous avons identifié d’autres attaques, principalement contre des entreprises brésiliennes. »
Il existe déjà un profil Lapsus$, mais « le profilage total et l’identification des éléments de ce groupe n’est pas simple » et il peut falloir des mois pour obtenir des informations, « jusqu’à ce que vous arriviez à un visage », souligne Rui Duro.
Ce type d’attaque, connu sous le nom de « ransomware » « est très courant ces dernières années et survient parce que les cybercriminels exploitent les vulnérabilités des entreprises (infrastructures/applications et principalement celles des propres utilisateurs/collaborateurs de l’organisation), réussissant à accéder à des systèmes compromis. », poursuit Pedro Leite.
Après cela, ils commencent à exploiter l’attaque via des logiciels malveillants (« malware ») et, malgré l’existence de mécanismes de détection et de protection, ceux-ci « peuvent ne pas être fiables à 100 % car les attaquants » améliorent toujours leurs techniques, fait référence.
« Idéalement, les entreprises seraient protégées contre ce type d’attaques », mais « actuellement, les menaces acquièrent une sophistication que seule une approche proactive et préventive contre ce type de situations peut empêcher » de devenir une cible, ajoute Rui Duro.
Marc Rivero souligne que les entreprises qui « ne suivent pas les bonnes pratiques de cybersécurité peuvent être soumises à des attaques de ce type ». Cependant, « dans le cas de ce groupe, des vecteurs observés dans les sources ouvertes, ils ont utilisé des ‘mots de passe’ faibles pour accéder à certaines ressources partagées par l’entreprise victime ».
Les attaques de ransomware « sont de plus en plus en vogue et ont impacté des infrastructures de plus en plus critiques », souligne Rui Duro. Au Portugal, « la grande majorité des attaques (90 %, pour être plus précis) commencent par un simple « e-mail », « commençant par un « logiciel » malveillant qui s’installe sur l’appareil et permet aux attaquants de gagner du temps pour, subrepticement, de connaître leur cible, les manières d’agir » et les procédures internes.
Le moment d’attaquer « n’est pas le fruit du hasard » et « les jours fériés, les fêtes de fin d’année, les week-ends sont des moments particulièrement souhaitables pour mettre en œuvre des attaques », explique Rui Duro.
Quant à savoir si les données des clients d’Impresa pourraient être compromises, Pedro Leite déclare que « tout dépend des informations auxquelles les attaquants ont eu accès ».
Dans des attaques de ce genre, « non seulement les données personnelles de l’utilisateur peuvent être compromises, mais aussi la propriété intellectuelle de l’entreprise en question », souligne Marc Rivero, Rui Duro précisant que pour répondre à la question il faut savoir » en détail les vecteurs d’attaque » et les systèmes infectés spécifiques.
Après une cyberattaque, « tous les systèmes sont d’abord analysés afin de trouver d’autres failles de sécurité possibles, ce qui ne signifie pas nécessairement que les dommages étaient importants ou minimes », explique Marc Rivero.
Rui Duro déclare que les proportions de l’attaque ne peuvent pas être vues « par le temps qu’il faut pour récupérer, mais par l’étendue de celle-ci », étant « toujours nécessaire pour mener une vaste activité de recherche médico-légale, qui prend du temps et ne peut même pas être précipité ».
Pedro Leite, en revanche, souligne que pour restaurer à nouveau les services, il faut savoir comment l’attaque a été menée, pour éviter une nouvelle, et « s’assurer que les informations » qui seront restaurées sont réalisées « en une infrastructure qui n’est pas compromise », des activités qui « prennent du temps ».
Concernant le temps de récupération après une attaque, celui-ci « peut être long », souligne Pedro Leite, citant qu' »il existe certaines données statistiques qui indiquent qu’en moyenne, il faut 78 jours (…) pour détecter et contenir une faille de sécurité » .
Cela dépend « beaucoup de l’impact de l’attaque reçue, de la résilience de l’entreprise touchée et de sa maturité dans le domaine de la cybersécurité », il n’est donc pas possible de « donner même une date estimée », précise Marc Rivero.
« Nous avons des exemples de cas d’attaques de « ransomware » qui ont pris deux semaines à résoudre, ainsi que d’autres dans lesquels, après trois mois, les systèmes ne sont toujours pas entièrement fonctionnels », en fonction du degré de complexité et de l’impact sur les systèmes critiques de l’entreprise, souligne Rui Duro, soulignant que cela dépend aussi du « temps que nécessite la restauration des services critiques, ainsi que des pratiques de sécurité que l’entreprise a mises en place ou non, telles que la réalisation de « sauvegardes » régulières ».
ALU // MSF
