Ransomware : Asteelflash résiste à la pression de Revil/Sodinokibi

[Mise à jour le 3 avril 2021 @ 14h15] Tiphanie Picard, responsable marketing monde d’Asteelflash, est revenue vers la rédaction, précisant qu’« aucun contact n’a été établi avec les cybercriminels » et assurant que, « grâce à la mobilisation exceptionnelle de nos équipes informatiques, de nos collaborateurs et de nos partenaires, nos systèmes d’information critiques sont presque tous opérationnels ». 

Suite à la parution de notre article, le 2 avril, Asteelflash a publié une déclaration sur son blog. L’entreprise y affirme que l’attaque a été détectée, fin mars « lors d’un contrôle de routine par ses équipes IT » et reconnaît l’implication du ransomware Revil/Sodinokibi. Elle assure en outre que « des mesures défensives ont immédiatement permis de limiter l’impact de l’incident, ce qui a pu conduire à une indisponibilité des réseaux informatiques ». Et d’assurer que « les serveurs affectés ont été isolés, nettoyés et “re-sécurisés”, et de très nombreuses mesures de sécurité, de détection et de neutralisation préventive ont été prises, en s’appuyant sur l’expertise d’acteurs majeurs de la sécurité informatique. À ce stade nous n’avons pas constaté de résurgence de “comportements anormaux” au sein des systèmes d’information ».

Enfin, Asteelflash assure n’avoir, à ce stade, « aucune preuve que des données ont pu être exfiltrées ou divulguées. Nous sommes par ailleurs en étroite collaboration avec tous nos clients qui ont été informés de la situation dès le début ».

[Article original] Au moins, le site français du groupe Asteelflash, spécialiste des services de sous-traitance électronique (EMS, electronic manufacturing services), répond au téléphone. Mais plusieurs autres s’avèrent injoignables. La faute à « un gros problème informatique », en cours depuis plusieurs jours, s’entend-on expliquer lorsque l’on parvient à joindre quelqu’un sur ce site français épargné.

Sur le site Web d’Asteelflash, tout récemment passé dans le giron du Chinois Universal Scientific Industrial (USI), l’incident ne fait l’objet d’aucune mention.

Un échantillon du ransomware Revil/Sodinokibi laisse entrevoir une détonation autour du 23 ou du 24 mars dernier. Dans l’espace de négociation correspondant, le cybercriminel propose au téléchargement une archive qui, selon lui, permet d’avoir un aperçu de l’étendue de la compromission du système d’information et de la nature des fichiers dérobés. Le nom de cette archive est explicite : asteelflash_data_part1.7z. L’attaquant demandait initialement le paiement d’une rançon de 12 millions de dollars en Monero, sa crypto-monnaie préférée. Mais c’était avant que n’expire le délai de départ. Désormais, l’assaillant demande 24 millions de dollars. Mais son interlocuteur ne semble pas décidé à céder à ces exigences. La conversation n’a commencé que très récemment et s’avère stérile.

Mais l’intrusion pourrait s’avérer bien antérieure. Les données du moteur de recherche spécialisé Shodan font ressortir un système Windows qui a commencé à exposer son service Microsoft RPC directement sur Internet, fin novembre dernier. Avec les identifiants appropriés, ce type de service peut être utilisé par un attaquant pour exécuter du code à distance… sans trop se faire remarquer puisqu’il utilise alors un service Windows légitime.

Jointe par téléphone, Tiphanie Picard, responsable marketing monde d’Asteelflash, s’est refusé à toute confirmation ou infirmation, indiquant simplement que « l’incident est en cours d’évaluation ». Elle n’a pas non plus souhaité préciser depuis quand le système d’information du groupe est affecté.