Expanscience, sauvé de Maze par le cloud ?

Expanscience semble bien déterminé à ne pas céder au chantage : les cyberdélinquants aux manettes du rançongiciel Maze continuent de l’afficher parmi leurs victimes, quitte à ignorer que, plus elle s’étend, plus cette galerie tend à porter un encouragement à la résistance.

Sur son site Web, l’entreprise pharmaceutique reconnaît l’attaque : « le 17 août, les Laboratoires Expanscience ont été la cible d’une cyberattaque par rançongiciel visant à compromettre un certain nombre de serveurs hébergés en France et dérober des informations propriétaires ». Mais elle assure au passage que « cet événement est traité conformément à notre plan de gestion de risque », notamment avec l’aide « d’experts externes en cybercriminalité afin de déterminer précisément l’impact de cet incident ». Et d’ajouter prévoir de « prendre contact ultérieurement avec nos clients et partenaires, pouvant être concernés par les données dérobées ». Surtout, Expanscience l’assure : « notre système d’information est pleinement opérationnel depuis lundi 24 août ».

Cette reprise rapide, l’entreprise pharmaceutique la doit peut-être à son recours au cloud : les informations relatives à son infrastructure, ouvertement accessibles sur Internet, font ainsi ressortir l’utilisation d’Office 365 pour sa bureautique, mais aussi le recours à AWS, au moins pour plusieurs de ses sites Web. Mais Expanscience reste à ce stade silencieux sur le point d’entrée des assaillants, les opérations de remédiation, et encore le montant demandé par les cybertruands, malgré nos demandes.

Pour autant, l’examen de l’exposition en ligne de l’entreprise pharmaceutique fait ressortir au moins un point d’entrée possible : une passerelle Citrix Netscaler Gateway qui, selon les données du moteur de recherche spécialisé Shodan, est restée affectée par la vulnérabilité CVE-2019-19781, dite Shitrix, au moins jusqu’au tout début du mois d’août.

L’exploitation de cette vulnérabilité a commencé très vite en début d’année. Elle a été observée sur l’infrastructure de nombreuses entreprises attaquées à grand renfort de ransomwares : Bretagne Télécom, ISS World, Faro Technologies, ou encore Honda et Enel.