ENTREPRISES & STRATÉGIES — Commerce

Cybersécurité

Cactus victime d’un ransomware particulier



Les dossiers informatiques du logiciel de caisse des trois magasins de Cactus auraient été chiffrés par un logiciel malveillant «customisable» pour obtenir une rançon. (Photo: Shutterstock)

Les dossiers informatiques du logiciel de caisse des trois magasins de Cactus auraient été chiffrés par un logiciel malveillant «customisable» pour obtenir une rançon. (Photo: Shutterstock)

Le groupe Cactus a rouvert ses trois magasins victimes d’une tentative de ransomware depuis mercredi dernier. Un cas particulier qui rappelle la nécessité de mettre ses logiciels à jour et de se méfier en temps de crise.

Mardi matin, les trois magasins Cactus visés depuis mercredi par une attaque informatique ont été rouverts. À Windhof, Bonnevoie et Merl, les hackers s’en seraient pris au système informatique des caisses. Cactus a porté plainte.

Selon différentes sources, l’enseigne luxembourgeoise aurait été attaquée par REvil, un RaaS, un logiciel malveillant «vendu» comme un service. Dès le 2 mai, la société d’intelligence économique spécialisée dans la cybersécurité, Cybel, avait publié un post en ce sens .

38 millions de rançons déjà payées dans le monde

Le logiciel malveillant est personnalisable jusqu’à un certain niveau, selon l’opérateur néerlandais de télécommunications KPN, qui recense plus de 150.000 infections dans 148 versions du logiciel.

C’est la raison pour laquelle il est très difficile d’avoir une idée plus précise de la rançon demandée. Elle peut aller de 1.000 à 2.000 dollars jusqu’à plus d’un million de dollars. Les hackers auraient déjà extorqué plus de 38 millions de dollars à des sociétés, soit en moyenne 260.000 dollars par attaque, selon KPN, alors qu’un autre rapport place le curseur plutôt autour de 48.000 dollars. Pour Coveware, la rançon moyenne a doublé entre les deux derniers trimestres de 2019, passant de 41.198 à 84.116 dollars.

REvil est un ransomware dont la particularité est de ne pas avoir besoin d’intervention humaine pour pénétrer dans un système d’exploitation. Il utilise, depuis qu’il a été découvert il y a un an , des vulnérabilités qui n’ont pas été correctement corrigées sur une plate-forme d’applications en langage Java pour les entreprises.

Si Oracle WebLogic a indiqué avoir patché sa plate-forme le 26 avril 2019, derrière, tous ceux qui l’utilisent directement ou indirectement doivent vérifier que c’est le cas.

La logique est la même quand, dans votre smartphone, Apple vous invite à effectuer les mises à jour. Quelques-unes correspondent à des mises à jour des développeurs d’applications qui sont utilisées, d’autres pour «patcher» des problèmes de sécurité. Ne pas le faire est s’exposer à des ennuis.

Le Covid-19 dope les menaces

La crise est venue perturber l’ordre des choses. Non seulement la panique s’est emparée d’un certain nombre d’opérateurs, mais les hackers jouent sur la peur et le manque d’habitude des salariés à distance pour multiplier les tentatives de phishing et de logiciels malveillants, a alerté Europol, début avril .

92% des experts interrogés par l’Isaca  prédisent une croissance exponentielle des attaques en tout genre. Avec une autre épée de Damoclès: les logiciels malveillants installés pendant la crise et qui resteront discrètement installés pour voler des données et observer en attendant de sévir plus tard.

Lundi soir, à l’occasion d’un webinar, le directeur de Securitymadein.lu, Pascal Steichen , a appelé, comme d’autres experts réunis autour de lui, à la poursuite de l’éducation aux risques liés à la cybersécurité dans les entreprises.