Ransomware : des clients d’Accenture menacés par rebond ?

[Mise à jour le 1er septembre 2021 @ 21h45] Dans une déclaration adressée à la rédaction, Accenture assure avoir « finalisé l’examen post-mortem des documents liés à [ses] systèmes ». Selon l’ESN, les allégations relayées par nos confrères sont « fausses ». Et, « comme nous l’avons dit, il n’y a pas eu d’impact [de l’attaque, N.D.L.R.] sur les activités d’Accenture ou sur les systèmes de nos clients. Dès que la présence d’un acteur malveillant a été détectée, nous avons isolé les serveurs concernés ».

[Article original] Le 20 août, les cybercriminels aux commandes du ransomware LockBit 2.0 revendiquaient une attaque réussie contre Ethiopian Airlines, et menaçaient de divulguer les données dérobées au passage. Quelques jours plus tard, ils ajoutaient à la liste de leurs victimes une autre compagnie aérienne, Bangkok Airways. Le point commun entre ces deux cyberattaques ? Ce serait Accenture.

Dans un échange avec nos confrères de Bleeping Computer, les attaquants ont ainsi affirmé que « la brèche d’Accenture leur a donné accès à des identifiants leur permettant de se tourner vers des clients de l’entreprise ». Et d’assurer au passage avoir compromis également un aéroport client de l’entreprise de services numériques.

Les opérateurs du rançongiciel LockBit 2.0 ont revendiqué, début août, une cyberattaque contre Accenture et menacé de divulguer des données dérobées au passage. Mais les quelques échantillons présentés par les cybertruands ne se sont pas montré de grande valeur.

Accenture a, pour sa part, confirmé l’intrusion, mais assuré que les assaillants n’avaient pas été en mesure d’exfiltrer de données sensibles. À nos collègues de SearchSecurity (groupe TechTarget), un porte-parole de l’ESN a expliqué que « grâce à nos contrôles et protocoles de sécurité, nous avons identifié une activité anormale sur l’un de nos environnements. […] Nous avons immédiatement contenu le problème et isolé les serveurs affectés. Nous avons pleinement restauré les systèmes affectés à partir de sauvegardes. Il n’y a pas eu d’impact sur l’activité d’Accenture ni sur les systèmes de nos clients ».

Cette réponse laisse à comprendre que des serveurs de l’ESN ont bien été chiffrés par les opérateurs du ransomware. Mais le chiffrement ne constitue que l’ultime étape de l’attaque. La restauration des serveurs concernés à partir de sauvegardes ne fournit aucune indication quant à la durée totale de l’attaque ni l’ampleur de l’intrusion.

Selon Cyble, les assaillants auraient demandé 50 M$ de rançon et affirmé avoir dérobé plus de 6 To de données. Hudson Rock a pour sa part affirmé avoir identifié plusieurs milliers de machines compromises liées à Accenture et à ses partenaires.

Selon nos confrères de frères de CyberScoop, dans un mémo interne, l’ESN a indiqué avoir remarqué l’incident le 30 juillet et précisé que les attaquants avaient été en mesure « d’acquérir certains documents faisant référence à un petit nombre de clients, et certains contenus de travail ayant été préparés pour des clients ». Mais selon ce mémo, « aucune information n’est de nature sensible ».

De son côté, Bangkok Airways a reconnu l’attaque. Dans un communiqué daté du 26 août, la compagnie a indiqué avoir découvert, le 23 août, qu’elle avait été « victime d’une attaque de cybersécurité qui a eu pour résultat l’accès illégal à son système d’information ». Elle n’a pas précisé la manière dont cet accès avait été obtenu, mais a indiqué que des données personnelles, notamment de passagers, pourraient avoir été compromises.

Nous avons sollicité le service de presse d’Accenture et demandé si les allégations des cybercriminels étaient fondées, ainsi que les dispositions prises par l’ESN, si cela avait été le cas. Nos questions n’ont pas encore reçu de réponses. Nous mettrons à jour cet article si et lorsqu’elles nous parviendront.