Il faudra attendre au moins trois jours avant que l’ampleur des dommages causés par «peut-être l’attaque de cybercriminalité la plus importante contre l’État irlandais» soit claire, a déclaré un ministre du gouvernement.
Le ministre d’État des Communications du Parti vert, Ossian Smyth, a déclaré que l’attaque, qui avait conduit à la mise hors ligne des systèmes informatiques HSE vendredi, avait été menée par un «groupe international sérieux» et était d’un «ordre de grandeur» au-delà des cyberattaques normales lancées le Agences d’État.
«C’était ciblé; il faut des agents hautement qualifiés pour le contrôler », a-t-il déclaré.
Il a déclaré que le groupe responsable avait été identifié par l’appareil de cybersécurité de l’État comme un gang criminel opérant dans un autre pays.
Une demande de rançon a été faite en Bitcoin, a-t-il déclaré, que le HSE a déclaré vendredi ne serait pas payée.
Il y avait des indications vendredi soir que l’attaque ne s’était pas limitée au HSE.
M. Smyth a déclaré que le bureau du responsable de l’information du gouvernement avait identifié des problèmes au ministère de la Santé. Il peut également y avoir eu une «violation grave», et les systèmes des services seraient examinés au cours du week-end aux côtés des systèmes HSE pour évaluer l’étendue des dommages causés.
Les experts passeront le week-end à évaluer l’ampleur de l’impact et à remettre le réseau HSE en ligne, à évaluer les dommages éventuels et l’ampleur de la propagation du virus dans le système avant son arrêt pour interrompre sa progression.
Systèmes de sauvegarde
“C’est un processus laborieux, et ils ne savent pas dans quelle mesure ils n’ont pas tout traversé … 72 heures est la recommandation générale pour le temps qu’il faut pour tout parcourir”, a déclaré M. Smyth.
On s’attend à ce que les systèmes de sauvegarde n’aient pas été affectés, ce qui faciliterait la restauration.
On ne sait pas si les données des patients ont été consultées ou violées, a déclaré M. Smyth.
La Garda assure la liaison avec le HSE et le Centre national de cybersécurité, ainsi que le partage d’informations avec Europol.
Des sources de Garda ont déclaré que l’implication de la force deviendrait une enquête criminelle de fond lorsqu’un profil du malware, appelé Conti, et ses origines probables aurait été compilé pendant les travaux pour contenir et inverser sa propagation. Le ransomware Conti, ou malware, est apparu pour la première fois en décembre 2019, et certaines sources de sécurité ont déclaré qu’il semblait être le successeur du ransomware Ryuk, qui a fait surface vers le milieu de 2018.
Ryuk est originaire de Russie et semble être contrôlé par un gang de cybercriminalité connu sous le nom de Russian Spider. Il est soupçonné d’externaliser le ransomware à d’autres cybercriminels en échange d’une part de leurs bénéfices. Un groupe d’Europe de l’Est connu sous le nom de NC1878 est à l’origine de certaines attaques de Ryuk contre les systèmes et les prestataires de soins de santé.
On pense que les principaux acteurs des attaques de Ryuk ont développé Conti – effectivement en tant que mise à niveau – et figuraient désormais parmi les suspects de l’attaque HSE. Cependant, des sources de sécurité ont déclaré que retracer définitivement les origines de l’attaque irlandaise serait «très complexe», et pourrait ne jamais être possible.
Cependant, Conti a été rétro-ingénierie par ceux qui travaillent dans le secteur international de la cybersécurité depuis son apparition il y a environ 18 mois, ce qui signifie que le secteur de la sécurité a pu le surmonter et compiler des kits à installer pour se prémunir contre de futures attaques.
Faiblesse
M. Smyth a déclaré que le gouvernement ne pense pas qu’il y ait une vulnérabilité particulière à l’attaque dans le système irlandais, ou qu’une faiblesse particulière a été exploitée.
Cependant, les experts ont déclaré que l’Irlande devrait viser à être un chef de file mondial dans les initiatives de cybersécurité et à garantir que la prévention de la cybercriminalité dispose de ressources suffisantes.
«Nous rattrapons les investissements dans ces domaines», a déclaré Brian Honan, consultant en cybersécurité et ancien conseiller sur le sujet auprès d’Europol.
«Compte tenu de notre position en tant que pays qui se targue et veut se promouvoir en tant que centre de données de l’Europe, nous devrions être l’un des leaders en Europe, sinon dans le monde», a-t-il déclaré.
Daragh O’Brien, un autre consultant en cybersécurité, a déclaré que l’attaque «ressemble à une réponse bien planifiée à un risque identifié pour l’organisation».
M. Smyth a déclaré qu’un «kit» est en cours de production pour être diffusé à d’autres agences d’État afin d’évaluer si le ransomware s’est répandu en dehors du système de santé.