Le réseau d'entreprise de Telefónica a été attaqué hier et ses employés ont été contraints d'arrêter de travailler et d'éteindre leurs ordinateurs après avoir été informés d'une attaque contre les serveurs de l'entreprise. Mais cela n'a pas été un cas local. La cyberattaque a jusqu'à présent touché plus de 99 pays et 40 000 appareils dans le monde, dont la British Social Security (NHS).
La société russe de cybersécurité Kaspersky estime que la récente cyberattaque a touché 99 pays. "Jusqu'à présent, nous avons enregistré 45 000 attaques (…) dans 99 pays. Les chiffres continuent d'augmenter de manière inhabituelle », a écrit Costin Raiu, directeur mondial de l'équipe Kaspersky Laboratory Analysis Research, sur son compte Twitter.
Pour le moment, l'origine du virus n'a pas été confirmée, mais des sources proches de Telefónica soulignent que le ransomware pourrait venir de Chine et qu'il demanderait une rançon en bitcoins. Le ransomware est un virus capable de verrouiller un ordinateur à distance, de détourner ses fichiers et de ne pas les libérer tant qu'une rançon n'a pas été payée. Comment éviter une attaque par ramsonware ?
La cyberattaque a rendu inutilisable tout le réseau informatique, de la ronde de communication au siège de la Gran Vía à Madrid. D'après ce que disent les employés, les écrans sont restés bleus, tandis que d'autres ont confirmé voir un texte avec des images sur le sauvetage sur leur écran.
Les premières phases de la cyberattaque ont déjà été atténuées
Les premières phases de la cyberattaque ont déjà été atténuées, principalement avec l'émission de différentes notifications et alertes aux personnes concernées ainsi qu'aux victimes potentielles de la menace, principalement basées sur des mesures de détection précoce dans les systèmes et les réseaux, bloquant le modus operandi du virus informatique et la récupération des appareils et ordinateurs infectés. En ce sens, de nombreuses entreprises concernées ont correctement activé leurs protocoles et procédures de sécurité dans ces situations et récupèrent les systèmes et leur activité normale.
Ils se démarquent de l'Institut national de la cybersécurité -Incibe- rappelant que les entreprises concernées procèdent déjà à la récupération des fichiers et des équipements. De plus, à titre préventif, les entreprises qui pourraient être des victimes potentielles de la cyberattaque ont déjà pris leurs mesures de blocage et de neutralisation. Plus de 40 000 appareils sont concernés dans le monde.
Le ministère de l'Énergie, du Tourisme et de l'Agenda numérique, informe par l'intermédiaire de l'Institut national de la cybersécurité (INCIBE) que le Centre de réponse aux incidents de sécurité et de l'industrie (CERTSI), exploité de manière coordonnée par l'INCIBE et le Centre national de protection des Infrastructures (CNPIC), continue de travailler avec les entreprises touchées par les cyberattaques survenues dans la journée. Les incidents de sécurité sont gérés par le CERTSI
De plus, d'autres entreprises sensibles à ce type de menace ont déjà pris des mesures préventives qui empêcheraient la propagation de logiciels malveillants, et ont contacté le CERTSI pour avoir de nouvelles actions et mesures à adopter.
La menace, qui a déjà été détectée dans plus de 10 pays, pourrait affecter plus de 40 000 appareils et ordinateurs, dont la Russie, l'Ukraine et le Royaume-Uni.
Le CERTSI recommande de rester informé via les canaux officiels et des mises à jour régulières. Les principales recommandations proposées sont :
- Mettez à jour les ordinateurs avec les derniers correctifs de sécurité du fabricant.
- N'ouvrez pas de fichiers, de pièces jointes ou de liens provenant d'e-mails non fiables.
- Disposer d'outils de protection adéquats tels qu'antivirus/antimalware et pare-feu.
- Faites des copies de sauvegarde régulières de nos informations, principalement les plus sensibles ou les plus importantes de nos appareils.
L'infection massive des ordinateurs personnels et des appareils a été produite par des logiciels malveillants de type ransomware qui, après avoir été installés sur l'ordinateur, bloquent l'accès aux fichiers sur l'ordinateur affecté et demandent une rançon pour permettre la récupération des informations. De plus, dans ce cas, il pourrait infecter le reste des ordinateurs vulnérables du réseau auquel il appartient.
Le CERTSI travaille sur deux axes d'action : l'atténuation et l'aide à la récupération d'informations et l'alerte précoce et la prévention. L'alerte avec mises à jour et détails peut être consultée aux adresses des blogs d'entreprise d'INCIBE.