L’Italie, la France et la Finlande touchés par une cyberattaque de grande ampleur
DIA-06 février 2023: Des milliers de serveurs informatiques dans le monde ont été la cible d’une attaque «à grande échelle» par ransomware, a prévenu l’Agence nationale italienne de cybersécurité (ACN) le 5 février. En Italie, des dizaines d’organisations ont déjà été touchées, sans qu’on en sache plus sur le profil des victimes. Mais des serveurs auraient aussi été compromis dans d’autres pays européens tels que la France et la Finlande, ainsi qu’aux États-Unis et au Canada.
L’ACN invite les organisations à prendre des mesures pour protéger leurs systèmes. Les piratages exploiteraient une vulnérabilité logicielle connue dans ce qu’on appelle des hyperviseurs VMWare ESXi. Ceux-ci permettent aux entreprises d’héberger des machines virtuelles et d’exécuter plusieurs systèmes d’exploitation sur un seul serveur.
Selon l’agence française de sécurité des systèmes d’information (ANSSI), le principal risque est la possibilité pour les pirates d’exécuter du code arbitraire à distance. Le 3 février dernier, cette dernière avait prévenu les organisations françaises de campagnes d’attaque ciblant ces hyperviseurs dans le but d’y déployer un rançongiciel. Le gendarme français de la cybersécurité invitait toutes les organisations utilisant ce produit à mettre à jour le patch correctif proposé par la société VMware depuis février 2021. «L’application seule des correctifs n’est pas suffisante. En effet, un attaquant a probablement déjà exploité la vulnérabilité et a pu déposer un code malveillant. Il est recommandé d’effectuer une analyse des systèmes afin de détecter tout signe de compromission» soulignait l’ANSSI.
Une réunion, avec le directeur de l’Agence Roberto Baldoni et Elisabetta Belloni, directrice du département Information et Sécurité (DIS), a été convoquée en Italie pour une première évaluation des dommages causés et mettre en place des contre-mesures appropriées. De leur côté, les responsables américains de la cybersécurité ont déclaré qu’ils évaluaient l’impact des incidents signalés. «La CISA travaille avec ses partenaires des secteurs public et privé pour évaluer l’impact des incidents signalés et fournir une assistance si nécessaire», a déclaré l’Agence américaine de cybersécurité et de sécurité des infrastructures.
Cette cyberattaque intervient quelques jours après que l’opérateur britannique de négociation de produits dérivés ION a fait l’objet d’un piratage similaire. En France, plusieurs alertes avaient été lancées ces derniers jours par différents hébergeurs sur une campagne d’attaque par ransomware concernant des serveurs basés sur ce composant informatique.