Cyberattaque par ransomware : Bouygues Construction toujours touché mais pas coulé

Le par  |  3 commentaire(s)
bouygues-construction

Le groupe de BTP se remet de sa cyberattaque de type ransomware avec une restauration en cours de son système d'information. Les soupçons sur Maze s'accumulent.

Le 31 janvier, Bouygues Construction a confirmé être la victime d'une cyberattaque de type ransomware (ou rançongiciel) détectée la veille sur son réseau informatique. Les système d'information du groupe de BTP avaient alors été arrêtés pour éviter une propagation.

Bouygues Construction fait un point sur cette cyberattaque qualifiée de virale en assurant " qu'aucun chantier n'a été arrêté " et indique que " l'ensemble des données qui sortent de l'entreprise vers l'extérieur fait l'objet d'une procédure de sécurisation renforcée. "

Le système d'information est en cours de restauration avec une remise en service progressive des fonctionnalités. La filiale du groupe Bouygues annonce par ailleurs avoir porté plainte et " travaille avec les autorités compétentes pour identifier l'origine de cette action criminelle. "

ransomware

Aucun nom n'est donné dans sa communication, mais Bouygues Construction a reçu le renfort de l'Agence nationale de sécurité des systèmes d'information (Anssi) et le CERT-FR publie des indicateurs de compromission associés au groupe d'attaquants TA2101 - un nom donné par des chercheurs de Proofpoint - ayant recours au ransomware Maze.

De tels marqueurs techniques sont représentatifs d'une compromission avec une identification depuis l'analyse d'un système, un code malveillant ou à partir de traces réseau. Ils peuvent être utilisés pour de la détection ou le blocage d'une menace identifiée.

Le nom du rançongiciel Maze a déjà circulé concernant la cyberattaque à l'encontre de Bouygues Construction. Outre une infection et le chiffrement de fichiers, les attaquants s'appuyant sur Maze font de l'exfiltration de données qu'ils menacent de rendre ultérieurement publiques. Un moyen de pression supplémentaire pour faire payer une victime.

Le cas de Bouygues Construction pourrait être le premier en France pour l'Anssi en rapport avec Maze.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2090394
Ce que j'aimerai vraiment savoir c'est "comment c'est arrivé", par quel moyen sont ils arrivé à pénétrer le système et contourner toutes les sécurités.
C'est grâce à une faille de sécurité ou un clic sur un mail vérolé ?
Le #2090411
sansimportance a écrit :

Ce que j'aimerai vraiment savoir c'est "comment c'est arrivé", par quel moyen sont ils arrivé à pénétrer le système et contourner toutes les sécurités.
C'est grâce à une faille de sécurité ou un clic sur un mail vérolé ?


Les circonstances de l'intrusion me paraissent être comme votre pseudonyme.

La vraie question à se poser est pourquoi le système de sauvegardes et de restaurations a été aussi défaillant.

Au cours de ma longue carrière, j'ai vu des situations très différentes selon les entreprises. Dans certaines, rien n'était sauvegardé. Dans d'autres, le service des sauvegardes était très bien organisé et très performant. Cela dépend de la volonté de la direction de mettre en place une bonne équipe.
Anonyme
Le #2090420
Restaurer l'ensemble des systèmes d'information sans aucune perte ni dégradation est quasiment impossible... et ne dépend pas uniquement de la qualité des sauvegardes...
Les SI sont tous plus ou moins interdépendants et se prémunir des risque majeurs les moins probables par un plan de continuité "intégral" est souvent arbitré comme bien trop coûteux à mettre vraiment en œuvre. On fait donc des choix sur ce que l'on est prêt à concéder.

Chaque attaque dispose de marqueurs faibles, qui pris de façon indépendante ne signifient pas forcément quelque chose, mais qui ensemble permettent de déceler des indicateurs de compromission, des motifs devant être traités avec le niveau d'attention approprié.

Il existe des applications permettant de capter tous ces éléments sur les postes de travail et serveurs, pour déterminer en temps réel le score de compromission de chaque poste. On peut mesurer les ecarts et suivre l'indice de compromission par entités géographiques pour mesurer la propagation, de voir quelle exécutable est lancé avec quels privilèges, vers quels ports et quelles destination interne ou externe...
Le #2090427
billgatesanonym a écrit :

sansimportance a écrit :

Ce que j'aimerai vraiment savoir c'est "comment c'est arrivé", par quel moyen sont ils arrivé à pénétrer le système et contourner toutes les sécurités.
C'est grâce à une faille de sécurité ou un clic sur un mail vérolé ?


Les circonstances de l'intrusion me paraissent être comme votre pseudonyme.

La vraie question à se poser est pourquoi le système de sauvegardes et de restaurations a été aussi défaillant.

Au cours de ma longue carrière, j'ai vu des situations très différentes selon les entreprises. Dans certaines, rien n'était sauvegardé. Dans d'autres, le service des sauvegardes était très bien organisé et très performant. Cela dépend de la volonté de la direction de mettre en place une bonne équipe.


Visiblement vous n'avez pas de verni sécurité. Un tel piratage implique une compromission qui date de plusieurs mois (cf APT : Menace persistante avancée)
Pour rappelle 700To de données "auraient" été volées en plus.
Donc si on doit restaurer, on revient à quelle date ? 1 an avant ?
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme