Les pirates informatiques à l’origine d’une attaque par ransomware contre Kia exigent des millions en bitcoins
Les pirates informatiques à l’origine d’une présumée attaque par ransomware contre Kia exigent des millions de dollars en bitcoins,
Plusieurs services en ligne de la société auraient été touchés
Kia aurait été victime d'une attaque par ransomware de 20 millions de dollars qui a mis hors service les services réseau de ses concessionnaires et des clients qui sont abonnés à ses services connectés à UVO. Au cours de la semaine dernière, les clients étaient incapables d’utiliser certaines fonctions comme démarrer leur voiture à distance via les applications de Kia ou même de se connecter au site de l'entreprise pour payer leurs factures, selon les tweets publiés par des propriétaires de véhicules. Kia a reconnu que des pannes affectaient son réseau, mais a rejeté la thèse d’une attaque par ransomware.
Les voitures connectées sont devenues un élément de base de la vie quotidienne de millions de conducteurs. La possibilité d'interagir avec les voitures au-delà du porte-clés est devenue une chose que l’on espère voir fonctionner, mais tout cela repose sur les bases de l'infrastructure informatique critique. Et lorsque quelque chose ne fonctionne pas comme prévu, un léger désagrément peut se traduire par un cauchemar pour le client.
Plusieurs clients de Kia ont souffert d’un tel problème la semaine dernière. Depuis le 13 février, les services en ligne et connectés de Kia sont en panne, laissant les propriétaires dans l'incapacité de payer leurs factures, de déverrouiller à distance leurs véhicules, ou même de les réchauffer au milieu de l'une des périodes d’hivers les plus rigoureuses que certaines régions des États-Unis aient connues depuis longtemps, a rapporté The Drive.
Les propriétaires ont utilisé Twitter et divers forums en ligne pour se plaindre de la panne imprévue. Beaucoup se sont demandé pourquoi ils ne pouvaient pas voir les détails de leurs voitures sur le site Web de Kia ou sur diverses applications téléphoniques. Certains propriétaires cherchant à payer leurs factures ont donc eu recours aux lignes téléphoniques qui diffusaient un message indiquant que les options de libre-service étaient hors service pour l'entretien programmé. Il va sans dire que cela a provoqué une vague de tweet chez Kia parce qu'ils n'étaient pas sûrs du résultat s'ils manquaient un paiement à cause de la panne.
Ce ne sont pas seulement les conducteurs de Kia qui sont touchés. Les nouveaux acheteurs sont également bloqués, incapables de créer des comptes avec les services en ligne de Kia. The Drive a confirmé ces dysfonctionnements en essayant de créer un compte sur le portail des propriétaires de Kia, mais il est tombé sur une "erreur de serveur interne" qui ne permet pas de continuer le processus.
Ceux qui cherchent à récupérer une nouvelle voiture semblent également être dans l'impasse, car les concessionnaires sont apparemment incapables d'effectuer des transactions qui impliquent l'accès au site d'informations techniques de Kia, KGSIS (Kia Global Service Information System). Le problème a commencé à prendre de l’ampleur lorsqu’un utilisateur de Twitter a affirmé qu'un concessionnaire Kia en Arizona lui a dit que la panne avait été causée par un rançongiciel, bien que cela ne soit pas corroboré en dehors des rumeurs sur Internet.
Une présumée attaque par le ransomware DoppelPaymer
Une attaque avec demande de rançon est presque toujours motivée par des raisons financières, visant à exploiter des entreprises (et des particuliers) en chiffrant des fichiers et en les conservant jusqu'à ce que la victime paie. Certaines entreprises touchées adoptent la ligne de conduite "nous ne négocions pas", en engageant des sociétés de sécurité privées pour démanteler le code à l'origine des attaques et trouver la clé de déchiffrement. D'autres, en revanche, se contentent de payer la rançon et poursuivent leur activité.
La thèse d’attaque par ransomware semble être confirmée par une capture d'écran d'une prétendue demande de rançon, partagée un autre rapport publié la semaine dernière, demandant à Kia la somme importante de 20 000 000 de dollars pour avoir accès à ces ses fichiers déchiffrés.
L'infection serait l'œuvre d'un groupe appelé DoppelPaymer par les chercheurs de Crowdstrike en 2019. De tels acteurs de la menace attaquent régulièrement de grandes sociétés afin d’obtenir des paiements importants, selon un bulletin de sécurité publié par le FBI à la fin de l'année dernière. La note que les cybercriminels auraient laissée derrière eux mentionne que le malware a non seulement chiffré les données en direct, mais aussi les sauvegardes de l'entreprise, ce que font souvent les attaques plus sophistiquées de cette nature pour empêcher une restauration facile par la société elle-même.
Il n'est pas clair quel type de données a été exfiltré par les attaquants, cependant, les attaquants prétendent également avoir exfiltré une grande quantité de données lors du piratage qu'ils disent vouloir diffuser dans les trois semaines. Cependant, suite la publication des rapports sur l’attaque, Kia a dit mercredi dernier ne pas avoir connaissance d’une attaque par ransomware, après que la société ait confirmé à The Drive être au courant d’une « panne prolongée de ses systèmes », bien qu'il n’a pas mentionné la nature de la panne :
« Kia Motors America, Inc. connaît actuellement une panne prolongée de ses systèmes », a déclaré un porte-parole de Kia par e-mail. « Les systèmes touchés comprennent le portail KiaOwners, les applications mobiles UVO et le portail Web des consommateurs. Nous nous excusons pour les inconvénients subis par les clients concernés et nous nous efforçons de résoudre le problème le plus rapidement possible en limitant au maximum l'interruption de nos activités ».
Le porte-parole a également minimisé les allégations d'une prétendue attaque par ransomware : « Nous sommes également au courant des spéculations en ligne selon lesquelles Kia ferait l'objet d'une attaque de type "ransomware". Pour l'instant, nous pouvons confirmer que nous n'avons aucune preuve que Kia ou toute donnée de Kia fait l'objet d'une attaque de type "ransomware" ».
Cependant le rapport qui semble confirmer la thèse de la présence d’une demande de rançon apporte plus de détails que ces prétendus attaquants auraient laissés. Les attaquants ont apparemment utilisé une adresse e-mail Protonmail pour communiquer et afficher une page Web sur Tor, un réseau peer-to-peer chiffré qui favorise l'anonymat, avec une fonction de chat en ligne au cas où Kia aurait besoin d'aide pour payer la rançon.
La date à laquelle les pirates informatiques ont écrit leur demande de rançon, ils demandaient 404 bitcoins, ce qui équivaut à environ 20 millions de dollars. Mais le message avertit également que plus ils tardent à payer, plus les frais augmenteront, pour atteindre 600 bitcoins (31 millions de dollars) si le constructeur automobile ne paie pas dans les neuf jours. Kia Motors America serait en train de se remettre de la panne de ses services en ligne, selon une publication faite par AP News le vendredi.
Selon Emsisoft, le vol de fichiers non chiffrés est devenu une tactique largement utilisée par les opérateurs de ransomware pour contraindre les victimes à payer, ce genre d’opérations ayant touché plus de 1 300 entreprises dans le monde, selon le rapport 2020 de State of Ransomware de la société de sécurité informatique.
« Dans le monde entier, plus de 1300 entreprises, dont beaucoup sont basées aux États-Unis, ont perdu des données, y compris des informations sur la propriété intellectuelle et d'autres informations sensibles. Notez qu'il s'agit simplement du nombre d'entreprises dont les données ont été publiées sur les sites de fuite et ne tient pas compte des entreprises qui ont payé pour empêcher la publication ».
« Depuis fin août 2019, des acteurs non identifiés utilisent le logiciel de rançon DoppelPaymer pour chiffrer les données des victimes dans des secteurs critiques du monde entier tels que la santé, les services d'urgence et l'éducation, interrompant ainsi l'accès des citoyens aux services », a déclaré le FBI dans son dossier DoppelPaymer de décembre.
« Depuis son apparition en juin 2019, le rançongiciel DoppelPaymer a infecté diverses industries et cibles, les acteurs exigeant régulièrement des rançons à six et sept chiffres dans le cas de bitcoins (BTC). Avant d'infecter des systèmes avec des ransomwares, les acteurs exfiltrent des données pour les utiliser dans des plans d'extorsion et ont effectué des appels téléphoniques de suivi aux victimes pour les pousser davantage à payer des rançons ».
L'industrie automobile n'est pas non plus étrangère à ce type d'attaques. Il faut noter que DoppelPaymer est le même logiciel malveillant qui a été responsable de l'exfiltration et du chiffrement des données de Visser, un entrepreneur fabricant de pièces détachées pour Tesla et SpaceX, l'année dernière, a déclaré la société en mars 2020. Des variantes comme WannaCry ont ciblé Renault en 2017, et Honda a été touché en 2017 ainsi qu'en 2020 par un autre opérateur de ransomware.
Selon un rapport de l'Agence française de la sécurité des systèmes d'information (ANSSI) publié un peu plus tôt ce mois, la tendance à la hausse des attaques par rançongiciel à l’encontre d’organisations publiques et privées, identifiée depuis 2018, s’est à nouveau confirmée en 2020, tant à l’échelle internationale que nationale. En 2020, l’agence a noté une augmentation de 255 % des signalements d’attaque par rançongiciel dans son périmètre par rapport à 2019.
Sources : Tweets (1, 2 & 3)
Et vous ?
Qu’en pensez-vous ?
Voir aussi :
Répondre avec citation
Partager