L’Autorité bancaire européenne (ABE) a déclaré dimanche qu’elle avait été victime d’une cyberattaque visant ses serveurs Microsoft Exchange, l’obligeant à mettre temporairement ses systèmes de messagerie hors ligne par mesure de précaution.
« La vulnérabilité étant liée aux serveurs de messagerie de l’EBA, l’accès aux données personnelles via les e-mails détenus sur ces serveurs peut avoir été obtenu par l’attaquant », l’agence de régulation basée à Paris mentionné.
L’ABE a déclaré qu’elle avait lancé une enquête complète sur l’incident en partenariat avec son fournisseur de technologies de l’information et de la communication (TIC), une équipe d’experts légistes et d’autres entités concernées.
Dans une deuxième mise à jour publiée lundi, l’agence a déclaré qu’elle avait sécurisé son infrastructure de messagerie et qu’elle n’avait trouvé aucune preuve d’extraction de données, ajoutant qu’elle n’avait « aucune indication de penser que la faille a dépassé nos serveurs de messagerie ».
Outre le déploiement de mesures de sécurité supplémentaires, EBA a également noté qu’elle surveillait de près la situation après la restauration de toutes les fonctionnalités des serveurs de messagerie.
Le développement est une conséquence d’une campagne d’exploitation généralisée en cours par plusieurs acteurs de la menace ciblant les serveurs de messagerie Microsoft Exchange vulnérables une semaine après que Microsoft a déployé des correctifs d’urgence pour corriger quatre failles de sécurité qui pourraient être enchaînées pour contourner l’authentification et exécuter à distance des programmes malveillants.
Microsoft aurait eu connaissance de ces vulnérabilités dès le 5 janvier 2021, indiquant que la société avait eu près de deux mois avant de finalement proposer un correctif livré le 2 mars.
Le piratage de masse d’Exchange Server a jusqu’à présent revendiqué au moins 60000 victimes connues dans le monde, y compris un nombre important de petites entreprises et de gouvernements locaux, les attaquants jetant un large filet avant de filtrer des cibles de premier plan pour de nouvelles activités post-exploitation.
Les intrusions qui s’accélèrent rapidement, qui surviennent également trois mois après la campagne de piratage de SolarWinds, ont été principalement attribuées à un groupe appelé Hafnium, qui, selon Microsoft, est un groupe parrainé par l’État opérant hors de Chine.
Depuis lors, les renseignements recueillis à partir de plusieurs sources indiquent une augmentation de l’activité anormale du shell Web ciblant les serveurs Exchange par au moins cinq clusters de menaces différents vers la fin du mois de février, un fait qui a peut-être joué un rôle important dans la publication par Microsoft des correctifs une semaine à l’avance. du programme du Patch Tuesday.
En effet, selon le calendrier de divulgation des vulnérabilités partagé par la société de cybersécurité taïwanaise Devcore, le Security Response Center (MSRC) de Microsoft aurait initialement prévu le correctif pour le 9 mars, qui coïncide avec le Patch Tuesday de ce mois.
Si la marchandisation des vulnérabilités de ProxyLogon n’est pas une surprise, l’exploitation rapide et aveugle par une multitude de gangs de cybercriminalité et de pirates des États-nations est sûre, ce qui implique que les failles étaient relativement plus faciles à repérer et à exploiter.
Déclarant que les hacks du serveur chinois Exchange constituent une violation majeure des normes, Dmitri Alperovitch, président de Silverado Policy Accelerator et co-fondateur de CrowdStrike, mentionné « Bien qu’il s’agissait au départ d’une campagne d’espionnage ciblée, ils se sont engagés dans un comportement imprudent et dangereux en analysant / compromettant les serveurs Exchange sur tout l’espace d’adressage IPv4 avec des coquilles Web qui peuvent désormais être utilisées par d’autres acteurs, y compris les équipes de ransomware. »
