Cyberattaque contenue chez Umanis… mais 1,45 M$ de rançon demandé

Umanis a déclaré, ce lundi 16 novembre au matin, avoir fait l’objet, « d’une cyberattaque, le 14 novembre ». L’ESN a précisé à ses partenaires et clients que la charge malicieuse finale de l’attaque a en fait été déclenchée dans la nuit du 13 au 14 novembre et indiqué qu’il s’agit bien du « ransomware Netwalker avec une souche connue ».

Selon VirusTotal, le script Powershell impliqué dans l’attaque, qui y a été téléversé aujourd’hui, est d’ailleurs reconnu par une règle Yara développée par les équipes Advanced Threat Research (ATR) de McAfee, de même qu’avec celles de Florian Roth.

Dans son message à ses partenaires et clients, l’ESN assure que « l’attaque a été contenue dès samedi 14 » et que « seuls certains de nos systèmes Windows ont été affectés ». Et de préciser que « à ce jour, nous n’avons trouvé aucune trace de compromission de notre messagerie et de notre infrastructure réseau, tout particulièrement VPN ».

Selon nos informations, il s’avère en fait que l’attaque a été circonscrite aux systèmes d’un domaine isolé du reste de l’infrastructure d’Umanis. Une dissociation qui a donc joué un rôle important pour contenir l’attaque.

L’ESN indique être entrée dans une « phase de reconstruction prudente tout en renforçant nos défenses ».

Mais la crise ne s’arrête pas à cela, car des données ont bel et bien été dérobées par les assaillants. L’examen de l’échantillon nous a permis de découvrir que les cyberdélinquants réclament une rançon de 1 450 000 $, soit près de 88 bitcoins, avec un ultimatum fixé au 23 novembre, avant doublement du montant demandé. Les opérateurs de NetWalker ont donné une semaine à Umanis avant d’annoncer publiquement leur forfait, et trois semaines avant de divulguer les données dérobées au passage.