Coaxis : questions sur le vecteur d’intrusion initiale

[Mise à jour, le 4 janvier 2024 @ 12h30] Dans un commentaire sur LinkedIn puis un échange avec la rédaction, Joseph Veigas, directeur général de Coaxis, assure que la vulnérabilité dite Citrix Bleed (CVE-2023-4966), observée par Onyphe sur sa surface exposée, le 6 décembre dernier, n’a pas constitué le vecteur initial de la cyberattaque. 

La plateforme Cavalier d’Hudson Rock, a connaissance de 6 identifiants d’employés compromis par infostealer. Ceux-ci sont fréquemment utilisés comme point de départ d’une cyberattaque. Les identifiants de 73 clients finaux de Coaxis, compromis de la même manière, ont également été observés par Hudson Rock.

Sur la base de journaux d’infostealers distribués gratuitement sur des canaux Telegram spécialisés, LeMagIT a pu constater que plusieurs milliers d’ordinateurs à travers le monde sont ainsi infectés chaque jour.  

[Mise à jour, le 29 décembre 2023 @ 17h05] Dans un billet publié sur LinkedIn, Joseph Veigas, directeur général de Coaxis, indique, ce jeudi 28 décembre, qu’il restait « environ 20 % de nos accès à reconnecter » : « je sais que c’est toujours difficile à entendre, mais nous voyons enfin le bout du tunnel ».

Et d’expliquer que, « entre le 8 et le 16, le travail de nos équipes concernait la face cachée de l’iceberg, à savoir investigations, élimination des menaces et reconstruction des infrastructures des datacenters ».
Précisant le calendrier de la reprise, Joseph Veigas prévoit de « continuer à travailler jusqu’à dimanche 31 décembre, avec un objectif de passer le cap des 95 % de remontées ce soir-là. Les 5 % restants le seront sur la première semaine de janvier ». 

Prenant acte de la revendication apparue sur la vitrine de la franchise mafieuse LockBit 3.0, le directeur général de Coaxis assure qu’elle « ne change pas une ligne de ce que nous avons écrit depuis cette cyberattaque ». Selon lui, « les investigations des experts en cyberdéfense qui nous accompagnent confirment bien le périmètre exfiltré : il ne concerne pas des données appartenant à nos clients ou bien relevant de la donnée personnelle ».

[Article originel, le 27 décembre 2023 @ 17h55] La revendication de la cyberattaque lancée contre Coaxis, le 8 décembre, a été publiée sur le site vitrine de la franchise mafieuse LockBit 3.0, ce mardi 26 décembre dans la soirée. La divulgation des données est attendue le 9 janvier 2024 peu avant 19h, heure de Paris. 

La façon dont est publiée la revendication (sans logo de la victime, avec données segmentées en plusieurs lots hébergés sur une infrastructure distincte de celle de la franchise elle-même) rappelle d’autres victimes : Scientific Motor Body Works, Hebeler, le Pacific Cataract and Laser Institute, LivaNova, Preidlhof, ou encore HSKS Greenhalgh Chartered Accountants and Business Advisors. 

Aucune quantité de données n’est indiquée. La revendication suggère qu’elles seront mises à disposition au téléchargement sous la forme de sept archives distinctes. 

Dans un communiqué daté du 23 décembre et publié sur le site Web de Coaxis, Joseph Veigas, directeur général de l’ESN, faisait état de la « réouverture d’un nombre croissant de [ses] clients » : « cette progression permet de continuer la réouverture à plus grande échelle ce week-end et la semaine prochaine. Nous mettons tout en œuvre afin que les dernières réouvertures s’effectuent dans les premiers jours de janvier 2024 ».

Certains clients s’impatientent toutefois et ne cachent plus leur exaspération. Deux d’entre eux ont contacté directement la rédaction du MagIT, ce samedi 23 décembre, cherchant notamment à comprendre pourquoi la réouverture des services pouvait prendre autant de temps.

Les délais observés à ce stade apparaissent toutefois raisonnables. Après une cyberattaque en profondeur, ramener son système d’information à des conditions opérationnelles peut s’avérer difficile, long et coûteux. Mais une approche méthodique et rigoureuse est indispensable. À moins de vouloir laisser à l’assaillant une porte ouverte pour revenir.