Aucune entreprise n'est à l'abri des ransomwares. Pas plus les acteurs du secteur IT en dépit de toutes la vigilance naturelle dont ils peuvent faire preuve. Editeur historique en solutions middleware et d'intégration de données, Software AG - qui a fait évoluer son business aussi vers la gestion des API et l'analytique - vient ainsi d'en faire les frais. La société a été ciblée le 3 octobre 2020 par le ransomware Clop qui s'est répandu dans ses systèmes et réseaux. Une rançon de 23 millions de dollars (2083,0069 BTC d'après Bleeping Computer) a été demandée par les cybercriminels qui ont commencé à publier sur le dark web des captures d'écran d'informations sensibles. Parmi lesquelles : des scans de passeports et de cartes d'identité d'employés de Software AG, des e-mails, des documents financiers ou encore des répertoires du réseau interne de la société.

Cette rançon est l'une des plus importantes jamais demandées au monde. A titre de comparaison, le FBI estime à 140 M$ en 6 ans le montant des extorsions émanant des cybercriminels. Selon les équipes de MalwareHunterTeam, il se pourrait que cette version de Clop inclus un outil pour désinstaller l'antivirus McAfee, mais à ce stade on ne sait pas si il a été créé et utilisé dans le cadre de cette attaque contre Software AG ou bien si il était présent auparavant. Pas étonnant quand on sait que Software AG est le deuxième plus grand fournisseur de solutions IT allemand, derrière SAP avec plus de 10 000 clients entreprises dans 70 pays.

Un ransomware privilégié des cybergang russe TA505

Software AG a fait état de cet incident lundi 5 octobre 2020 après avoir indiqué traverser des perturbations sur son réseau informatique interne en raison d'une attaque de malware. « Bien que les services à ses clients, y compris ses services basés sur le cloud, restent inchangés, en conséquence, Software AG a arrêté les systèmes internes de manière contrôlée conformément aux règles de sécurité internes de l'entreprise », a prévenu l'éditeur. « L'entreprise est en train de restaurer ses systèmes et ses données afin de reprendre un fonctionnement ordonné. Cependant, les services d'assistance et la communication interne de Software AG sont toujours affectés. »

Clop est un ransomware bien connu, particulièrement utilisé par les cybercriminels russes TA505, ciblant principalement les secteurs de la finance, distribution, institutions gouvernementales, aviation et santé. Récemment, ce ransomware aurait été utilisé dans les cyberattaques ayant visé Go Sport et Courir, ainsi qu'au CHU de Rouen.