Au moins deux pays africains, le Kenya et l'Afrique du Sud, feraient partie des 17 nations touchées par une cyberattaque massive dont les auteurs présumés réclament une rançon de 70 millions de dollars.
La cyberattaque, qui a eu lieu vendredi, serait la plus grande attaque mondiale de ransomware jamais enregistrée. Les équipes de cybersécurité travaillent fébrilement pour réparer les dégâts, tandis qu'un gang lié à la Russie, REvil, est accusé d'en être l'auteur.
Selon les experts, ce n'est pas une coïncidence si REvil a lancé son attaque au début du week-end du 4 juillet, sachant que les bureaux américains seraient peu occupés.
REvil a proposé tard dimanche, dans une publication sur son site dark web, une clé logicielle de décryptage universelle qui permettrait de déverrouiller toutes les machines touchées, en échange de 70 millions de dollars en crypto-monnaies.
Pour sa part, le FBI, la police fédérale américaine, annonce dans un communiqué qu'il a ouvert une enquête.
Le président américain Joe Biden a laissé entendre samedi que les États-Unis réagiraient s'il était établi que le Kremlin était impliqué de près ou de loin.
Large éventail de victimes
Un large éventail d'entreprises et d'organismes publics ont été touchés par cette énième attaque, notamment dans les services financiers, les voyages et les loisirs et le secteur public.
En général, les auteurs de ransomware s'infiltrent dans les réseaux et sèment un logiciel qui ces réseaux en otage en brouillant toutes leurs données. Les victimes obtiennent une clé de décodage lorsqu'elles paient.
La chaîne d'épicerie suédoise Coop a déclaré que la plupart de ses 800 magasins seraient fermés pour un deuxième jour dimanche, car le fournisseur de leur logiciel de caisse enregistreuse était paralysé. En Allemagne, une société de services informatiques dont l'identité n'a pas été révélée a déclaré aux autorités que plusieurs milliers de ses clients avaient été compromis, selon l'agence de presse dpa.
La plupart des victimes de ransomware ne signalent pas publiquement les attaques et ne révèlent pas si elles ont payé une rançon.
Le cercle vicieux des rançons
L'analyste Brett Callow d'Emsisoft a déclaré qu'il soupçonnait REvil d'espérer que les assureurs pourraient faire leurs calculs et déterminer que les 70 millions de dollars leur reviendraient moins cher que des temps d'arrêt prolongés.
Les gangs de ransomware sophistiqués du niveau de REvil examinent généralement les dossiers financiers d'une victime - et les polices d'assurance s'ils peuvent les trouver - à partir des fichiers qu'ils volent avant d'activer le ransomware.
Ce n'était pas la première attaque de ransomware qui passe par les fournisseurs de services informatiques. En 2019, des hackers ont entravé les réseaux de 22 municipalités texanes par l'intermédiaire d'un seul fournisseur de services. La même année, 400 cabinets dentaires américains ont été paralysés dans une attaque similaire.
La société de cybersécurité ESET a identifié des victimes dans au moins 17 pays, notamment au Royaume-Uni, en Afrique du Sud, au Canada, en Argentine, au Mexique, en Indonésie, en Nouvelle-Zélande et au Kenya.
Actif depuis avril 2019, REvil fournit un ransomware-as-a-service, ce qui signifie qu'il développe le logiciel de paralysie de réseaux et le loue à de soi-disant affiliés qui infectent les cibles et se taillent la part du lion des rançons.
Les responsables américains affirment que les bandes de ransomware les plus puissantes sont basées en Russie et dans les États alliés et opèrent avec la tolérance du Kremlin et parfois en collusion avec les services de sécurité russes. Des accusations rejetées par Moscou.
