Les détails n’ont pas été précisés, mais les rapports prélimnaires indiquent que l’attaque a pu commencer en Israël, puis se transmettre aux autres branches de Ness à travers le monde.
D’après le consultant en cybersécurité Einat Meyron, une cyber attaque ransomware a ciblé la société d’ingéniérie digitale Ness qui opére en Israël, aux Etats-Unis et en Inde.
Les détails de la cyber attaque n’ont pas été précisés, mais les premiers rapports font état d’une attaque qui pourrait avoir commencé en Israël avant de se répandre aux autres branches de Ness à travers le monde.
Ness travaille depuis plus de vingt ans dans le dévoloppement et l’intégration des logiciels et des plateformes digitales pour les entreprises et les agences gouvernementales.
« C’est un événement important qui est toujours en cours, il a démarré avec une forte intensité hier soir. C’est actuellement le chaos et nous essayons de faire profile bas, avec les équipes d’intervention internes de la société. Pour l’instant, cela ne se propage pas aux clients » a déclaré une source impliquée dans la gestion de l’attaque.
Shachar Efel, le PDG de Ness Technologies, a déclaré à nos confrères de Ynet que leurs systèmes ont été testés et qu »il n’y avait pas d’intrusion dans la société ou ses clients, qui inclus des centaines de clients en Israël.
La société que Ness Digital Engineering opére en Israël s’appelle SwiftNess.
Ness Technologies, qui opére en Israël, a souligné qu’il n’a pas été affecté par la cyber attaque et que s’ils ont été connectés aux entreprises Ness en Inde et aux Etats-Unis par le passé, ils ne le sont plus depuis sept ans.
La société a travaillé par le passé avec Tsahal, l’industrie aérospatiale israélienne, la Poste israélienne, l’Autorité des aéroports en Israël, et l’Université Hébraïque, parmis d’autres entreprises et organes gouvernementaux.
D’après la direction nationale de la cybersécurité, l’attaque n’est pas liée à Israël.
D’après Meyron, plus de 150 serveurs en Israël et environ 1 000 serveurs en deors d’Israël ont été scannés par McAfee suite à l’attaque. Les managers de la branche indienne de la compagnie ont rapporté avoir commencer à gérer l’incident et qu’ils ont intégré leur assureur, AIG, dans le tableau.
Une capture d’écran du message affiché lors de l’attaque : « bonjour ness-digital-engineering! Si vous (sic) lisez ce message, cela veut dire que votre réseau a été INFILTRE et que tous vos fichiers et données ont (sic) été CRYPTES par RAGNAR LOCKER ! ». Le message renvoit la société à une messagerie instantanée pour résoudre le problème et « passer un marché ».
En Novembre, le FBI avait prévenu que Ragnar Locker ransomware avait été utilisé contre une liste de plus en plus importante de victimes depuis les premières observations du FBI en avril 2020. Les acteurs ransomware obtiennent tout d’abord l’accès au réseau d’une victime et font une reconnaissance pour localiser les ressources du réseau, les backups et d’autres fichiers sensibles et déployement manuellement le ransomware et cryptent les données de la victime, d’après un rapport du FBI.
Le ransomware ne crypte pas les données si la nationalité des victimes s’avère être Azerbaijanais, Armenien, Belorusse, Kazakh, Kyrgyz, Moldave, Tajik, Russe, Turkmen, Ouzbek, Ukrainien or Géorgien.
Les entreprises ciblées par le ransomware incluent la société Capcom gaming et la société de boissons italienne Campari Group. Le groupe de hacker derrière Ragnar Locker a même fait de la publicité sur Facebook, via des comptes hackés, de ses attaques ransom.
Le FBI a conseillé aux entreprises de conserver les données sensibles hors-ligne dans un endroit sûr, d’installer et de mettre à jour régulièrement les anti virus, d’utiliser un système d’authentification multi factoriel et de garder le matériel à jour, entre autres mesures.
Meyron a souligné qu’une assurance est « un outil nécessaire dans n’importe quel plan d’évaluation, mais seulement après avoir fait de vraies évaluations et que l’organisation comprennent et sache ce qu’elle devra faire, en fonction des éléments déclencheurs et des horaires, pour activer le playbook et répondre correctement et efficacement à l’attaque. »
Un consultant en cyber sécurité a expliqué que les polices des assurances correspondent rarement aux besoins des entreprises et a ajouté que dans l’attaque de Ness, les managers de l’incident en Inde ont rapporté un délais de réponse de la part de AIG à cause de la différence de zones horaires de l’incident.
« L’évenement qui est en train de se produire illustre les vrais challenges de la gestion d’un événement de cyber sécurité » a déclaré Meyron. « La vitesse de propoagation est très rapide. Nous savons aujourd’hui que les attaques ransomware peuvent crypter des milliers de postes de travail juste en quelques heures et cela n’inclus même pas le risque de dissémination des informations en lui-même, d’autres utilisations frauduleuses et d’autres dommages commerciaux, financiers ou légaux qui pourraient survenir. »
Cette attaque intervient après une série de cyber attaques d’entreprises et d’institutions israéliennes, y compris l’Industrie Aérospatiale d’Israël, la compagnie d’assurance Shirbit, l’Université Ben Gourion et la société de logiciels Amital.