Cyberattaque : les pirates vont aussi au musée
La cyberattaque vécue, indirectement, par plusieurs dizaines de musées français rappelle la cyberattaque subie par des musées américains en janvier 2024. Un bis repetita ?
✨ LES INFOS DE LA SEMAINE, CHAQUE SAMEDI, PAR COURRIEL ! ✨
✨ Ne manquez rien ! Abonnez-vous et restez informé ! ✨
Le premier week-end de ce mois d’août 2024 ne s’attendait pas à être aussi chaud pour plus d’une trentaine de musées français. Un pirate informatique aurait tenté de s’inviter dans l’espace numérique d’un partenaire en charge du stockage, incluant les données des boutiques des musées. Plus de peur que de mal, même si les pirates ont annoncé diffuser les données volées 48 heures après leur infiltration et menace. 72 heures après cette cyberattaque, aucune donnée n’était diffusée. [Ce qui ne veut pas dire que les pirates n’ont pas en main des données, NDR].
Cette malveillance me fait penser à celle lancée le 28 décembre 2023 et qui a duré plusieurs jours aux USA. Une cyberattaque subie par des dizaines de musées américains de renom. Les lieux culturels et historiques ne pouvaient plus afficher leurs collections en ligne à cause d’une cyberattaque ayant visé un prestataire technologique majeur.
Ce dernier aide des centaines d’organisations culturelles à présenter leurs œuvres numériquement et à gérer leurs documents internes. Parmi les institutions touchées, le Museum of Fine Arts de Boston, le Rubin Museum of Art à New York et le Crystal Bridges Museum of American Art en Arkansas confirmaient que leurs systèmes avaient subi des interruptions récemment.
En novembre 2023, des données personnelles avaient été volées à la British Library par le groupe de rançongiciel Rhysida. L’Opéra Métropolitain et l’Orchestre de Philadelphie ont également été victimes de cyberattaques l’hiver dernier, par le groupe Snatch, ce qui a entravé leur capacité à vendre des billets en ligne.
La nature de l’attaque contre Gallery Systems n’était pas claire. Certains musées qui dépendent de Gallery Systems — y compris le Metropolitan Museum of Art et le Whitney Museum of American Art — avaient déclaré ne pas avoir été affectés car ils hébergeaient leurs propres bases de données. Le Museum of Fine Arts de Boston a indiqué que, bien que sa page de collection numérique ne fonctionnait plus sur son site web, ses données internes n’avaient pas été compromises.
Le prestataire de services, Gallery Systems, indiquait que les pirates étaient passés dans les ordinateurs utilisant son logiciel.
RECEVEZ LES INFOS ZATAZ DIRECTEMENT SUR VOTRE TÉLÉPHONE ✨✨
Abonnez-vous maintenant et restez à la pointe de l’info ! ✨
Quand la cyberattaque indirecte est plus efficace que la frontale
Des groupes de ransomware exploitent activement une vulnérabilité de contournement de l’authentification VMware ESXi (Alerte du CERT-SANTÉ – CVE-2024-37085). Bien que l’alerte de sécurité pour la vulnérabilité CVE-2024-37085 que Microsoft a lancé ne soit pas considérée comme très grave, sa note de gravité est modérée (CVSSv3 6,8), son exploitation réussie peut être catastrophique pour l’entreprise touchée.
« L’analyse par Microsoft des hôtes compromis a fourni des informations précieuses sur l’éventail de méthodes qui peuvent être déployées pour compromettre les hôtes ESXi. Toutes les méthodes d’attaque, nouvelles et existantes, semblent relativement simples et directes à exploiter, si les conditions sont réunies pour permettre l’exploitation en premier lieu » confirme Tenable.
Bien qu’elle soit peu complexe, un attaquant doit d’abord disposer de privilèges élevés pour modifier la configuration de l’Active Directory (AD) sur l’hôte affecté. Un attaquant pourrait prendre le contrôle complet d’un hôte ESXi et accéder au contenu de toutes les machines virtuelles (VM) associées.
Plusieurs groupes de ransomware ont ciblé les machines virtuelles dans leur chaîne d’attaque, comme les pirates du groupe Cl0P, ce qui peut avoir un effet paralysant sur les organisations touchées. Ces groupes motivés financièrement s’empressent de chiffrer ou de verrouiller le plus grand nombre d’hôtes possible, maximisant ainsi l’impact sur l’organisation victime dans l’espoir d’obtenir une rançon conséquente. Pour déployer les ransomwares et exfiltrer les données, ils s’appuient sur le phishing, le vol d’informations d’identification et l’exploitation de vulnérabilités connues et exploitables qui n’ont pas été corrigées par des organisations peu méfiantes.
Cela leur fournit une grande surface d’attaque, cependant l’exploitation dépend fortement du fait que l’hôte a été configuré pour utiliser Active Directory pour la gestion des utilisateurs. Un attaquant doit également disposer d’un accès privilégié à l’environnement Active Directory pour réussir à exploiter cette vulnérabilité.
Malgré ce frein important, nous ne pouvons pas sous-estimer les capacités et la détermination des groupes de ransomware à escalader les privilèges et à progresser dans leur attaque une fois qu’ils ont obtenu l’accès initial. Bien qu’une vulnérabilité de gravité moyenne puisse sembler moins prioritaire dans l’application de correctifs, il s’agit d’un autre exemple de la façon dont les attaquants recherchent et exploitent toutes les vulnérabilités non corrigées qu’ils peuvent, souvent en enchaînant plusieurs vulnérabilités dans leur quête d’une prise de contrôle complète d’un réseau infiltré.