Victime d’une cyberattaque du ransomware Avaddon, l’assureur Axa explique les faits qui ont touché les bureaux en Asie ce week-end. Un porte-parole a expliqué que cette attaque a perturbé toutes les opérations informatiques aux Philippines, en Malaisie, à Hong Kong et en Thaïlande. Certaines données traitées par Inter Partners Asia ont été consultées. Par contre, des experts ont été engagés pour mener l’enquête sur ce ransomware. Axa a prévenu les autorités de réglementation et les partenaires commerciaux tout en soutenant les clients qui ont été victimes.
Des données publiées
Le groupe de ransomware Avaddon a déjà collecté 3 téraoctets de données du groupe Axa. Ces données comprennent différentes sortes d’informations relatives à des contrats, des passeports, des cartes d’identité, des paiements aux clients, des réclamations, des remboursements refusés, des dossiers d’hôpitaux sur des rapports médicaux ou des enquêtes de fraudes avec des informations sensibles sur des patients. Ces données contiennent aussi des informations sur les comptes bancaires et certaines d’entre elles ont même été publiées.
Un chercheur de chez Domain Tools, Chad Anderson, a mentionné que le groupe ransomware Avaddon a affiché le nom de leur dernière victime sur dark web, prouvé par une capture d’écran. Cette capture montre aussi une liste de cibles et des minuteurs, montrant le temps qui reste à chacun avant qu’une rançon ne soit exigée. Parmi les entreprises sur la liste figurent le groupe AXA, Acer Finance, Henry Oil & Gas, la société de logiciels Vistex, la société aéroportuaire du gouvernement indonésien PT Angkasa Pura I, le courtier d’assurance Letton Percival et la société de matériel informatique EVGA.
Des avis d’alerte sur les méthodes d’opération du ransomware d’Avaddon ont déjà été publiés par le centre australien de cybersécurité et le FBI. Pour AXA, il lui reste 3 jours avant que les pirates ne leur exigent la publication de leurs documents.
Paiement des rançons
Pour le groupe AXA, elle a précisé qu’elle ne rembourserait plus les clients victimes des attaques du ransomware et qui ont payé. Cette décision fait suite à la pression faite par les régulateurs français, car pour eux, les paiements d’assurance font gonfler les paiements de rançon, donnant de l’ampleur aux crimes lucratifs.
Découvert en juin 2020, le groupe Avaddon se servait de la technique de double extorsion pour publier les données des victimes sur son site web. De plus, Avaddon procède à un programme d’affiliation en recrutant des pirates sur des forums souterrains pour développer son réseau. Cette technique montre à quel point le réseau du ransomware devient de plus en plus performant et se développe rapidement.
Pour le vice-président de l’architecture des solutions chez Cerberus Sentinel, Chris Clements pense qu’Avaddon a ciblé Axa, un exemple d’entreprise qui a remis en cause ses objectifs commerciaux. Il pense que c’est une preuve de la vulnérabilité des organisations et aussi modernes et complexes soient les réseaux, il existe toujours des failles. En même temps, les pirates s’enrichissent des rançons, leur permettant de se développer encore plus et de s’étendre dans le monde entier.
Pour le conseiller en sécurité de Netenrich, Sean Cordero, il est difficile d’observer les contrôles et les pratiques de cybersécurité des partenaires commerciaux et des filiales. Une leçon à tirer de cette attaque consiste à reconnaître la faiblesse dans l’exécution des risques, la validation et l’évaluation.
