Le gouvernement indonésien a déclaré qu’il ne céderait pas aux demandes de rançon suite à une attaque survenue la semaine dernière. Elle a perturbé les principaux services publics, y compris les services d’immigration, provoquant des retards à l’aéroport international de Jakarta.
L’attaque par ransomware a visé un centre de données national situé à Surabaya, la capitale de la province de Java Est. Elle touche depuis le 20 juin plus de 200 institutions à travers le pays. Certains de ces services ont été rétablis cette semaine, comme les services de visas et de permis de séjour, les services de contrôle de l’immigration et les services de passeports.
L’Agence nationale indonésienne de la cybernétique et de la cryptographie (BSSN) a depuis révélé que la violation était le résultat d’une attaque de ransomware appelée Brain Cipher, la dernière variante de LockBi 3.0, selon un article publié lundi par l’agence de presse gouvernementale Antara.
Briser le chiffrement
L’enquête sur l’attaque est en cours. Le ministre de la communication et de l’informatique, Budi Arie Setiadi, a déclaré que le gouvernement ne débourserait pas un centime pour payer la rançon exigée de 8 millions de dollars.
Le DSI du pays, Semuel Abrijani Pangerapan, a déclaré que son équipe avait pu isoler les données stockées dans les systèmes touchés. Des efforts de migration des données sont également en cours pour rétablir les services publics. Telkom Indonesia, qui collabore avec le gouvernement pour enquêter sur l’incident de sécurité, tente de briser le chiffrement des données.
Kelvin Lim, directeur chez Synopsys Software Integrity Group, mentionne que les pirates qui utilisent LockBit chiffrent souvent les données des victimes et exigent un paiement en échange de la non divulgation des données compromises.
Une attaque a trois volets
Il précise que les demandes de rançon comportent deux volets. Un paiement pour le déchiffrement des données et un autre pour empêcher la fuite ds données privées.
LockBit déploient parfois une troisième méthode d’extorsion, le déni de service distribué (DDoS), qui cible les ordinateurs des victimes et accroît la pression pour qu’elles paient la rançon.
Plutôt que d’obtempérer, les victimes d’attaques par ransomware devraient plutôt concentrer leurs ressources sur la récupération et l’amélioration de leur dispositif de cybersécurité contre de futures attaques, a-t-il ajouté.