D’après les chercheurs en sécurité, ces cyberattaques sont désormais réalisées par de multiples groupes de pirates, dont on ne sait pas s’ils sont liés ou non au groupe chinois Hafnium.
Le piratage des serveurs Microsoft Exchange continue. L’Autorité bancaire européenne a annoncé qu’elle faisait partie des nombreuses victimes, tout en précisant qu’aucun vol de données n’a été détecté à ce stade.
Des investigations internes sont toujours en cours, mais « l’infrastructure de courriels a été sécurisée et nos analyses suggèrent qu’aucune extraction de données n’a été réalisée », fait savoir l’Autorité dans un communiqué.
« Nous n’avons pas de raison de penser que l’effraction ait été au-delà de nos serveurs de courriels », poursuit-elle, précisant que « des mesures supplémentaires de sécurité sont en train d’être déployées pour restaurer le plein fonctionnement des serveurs de courriels ».
Le géant américain Microsoft avait averti la semaine dernière que des hackers présumés chinois du groupe baptisé « Hafnium » exploitaient des failles de sécurité dans ses services de messagerie Exchange pour voler les données de ses utilisateurs professionnels.
À la suite de cette attaque qui a touché un grand nombre d’autres organisations dans le monde, l’Autorité bancaire européenne avait annoncé dimanche soir faire partie de la liste des victimes, et désactivé « par mesure de précaution » son système de courriels.
« Dans la mesure où la vulnérabilité est liée aux serveurs de courriels de l’Autorité bancaire européenne, les attaquants ont pu obtenir un accès à des données personnelles via les courriels détenus sur ces serveurs », avait-elle alors fait savoir.
Cinq « clusters » d’activités identifiés
Selon des experts, des centaines de milliers de serveurs Exchange ont été piratés dans le monde à ce jour, et Hafnium n’est probablement plus le seul auteur de ces attaques.
En effet, les chercheurs en sécurité ont désormais identifié plusieurs groupes différents qui exploitent ces failles. La société FireEye distingue « trois clusters » d’activités malveillantes. Pour sa part, les experts de Red Canary en voient cinq.
Personne ne sait à l’heure actuelle si ces groupes sont indépendants ou reliés entre eux. Mais cela explique peut-être pourquoi le nombre d’attaques a augmenté de façon soudaine ces derniers jours. Aux États-Unis, au moins 30 000 organisations ont ainsi été piratées.
Le gouvernement américain signale d’ailleurs que ces attaques continuent de faire rage et appelle à la prudence.
« Appliquer le correctif et prendre des mesures d’atténuation ne constituent pas une solution si les serveurs ont déjà été compromis. Il est essentiel que toute organisation disposant d’un serveur vulnérable prenne des mesures immédiates pour savoir si elle a déjà été ciblée », alerte le conseil de sécurité national des Etats-Unis dans un tweet.
Cette vérification peut se faire au travers d’un script que Microsoft a rendu disponible sur GitHub.
source : 01net