RansomHub frappe fort : Kawasaki Europe sous pression après une attaque

En septembre 2024, Kawasaki Europe a été la cible d’une attaque de grande envergure perpétrée par le groupe de ransomware RansomHub. Ce collectif de cybercriminels, bien connu pour ses attaques sophistiquées, a revendiqué la responsabilité de cette cyberattaque en menaçant de divulguer des données sensibles volées à l’entreprise si une rançon n’était pas payée. Cette attaque illustre une tendance croissante chez les cybercriminels, à viser des entreprises de renom, profitant ainsi des failles de sécurité pour compromettre des données sensibles.

RansomHub, a fait son apparition, en février 2024, dans le paysage des ransomwares. RansomHub revendique déjà plus de 250 attaques et se profile comme un acteur majeur de la scène cybercriminelle, se classant même troisième sur l’année 2024 (selon Synetis). Le groupe fonctionne sur le modèle de Ransomware-as-a-service (RaaS). Leur stratégie repose sur la double extorsion : en plus de chiffrer les données, ils menacent de divulguer les informations volées si la rançon n’est pas versée.

Les secteurs d’activité visés par RansomHub sont à la fois nombreux et très variés. Parmi leurs coups d’éclat récents, on peut citer une attaque en mai 2024, contre la célèbre maison de ventes Christie’s. La dernière attaque contre Kawasaki, marque encore une nouvelle étape dans les cyberattaques en Europe, Ces événements s’inscrivent dans un contexte où la cybercriminalité ne cesse de se professionnaliser.

Chronologie des événements : attaque et premières réactions de Kawasaki

Début septembre 2024 Kawasaki Motors Europe (KME) découvre une infiltration dans ses systèmes informatiques et annonce avoir fait l’objet d’une cyberattaque. L’entreprise a précisé qu’elle menait une enquête approfondie pour évaluer la portée de la fuite de données. Des équipes de sécurité interne et des experts en cybersécurité externes ont été mobilisés pour contenir la menace, évaluer les systèmes compromis et, restaurer les opérations critiques. Kawasaki a précisé que l’ensemble des opérations commerciales, y compris les concessionnaires, les fournisseurs tiers et les opérations logistiques, n’avaient pas été touchées par l’incident.

Quasi simultanément, et alors que Kawasaki n’avait pas spécifié quel type de cyberattaque l’avait frappé, RansomHub a revendiqué l’attaque en ajoutant la société à son portail d’extorsion sur le dark web. Les cybercriminels affirment alors détenir 487 GB de données en provenance des réseaux de Kawasaki. La menace est explicite : si la rançon n’est pas payée, les données volées seront publiées sur Internet, exposant ainsi l’entreprise à des risques financiers et réputationnels importants. Le délai serré donné à Kawasasaki pour se conformer au exigences du groupe de pirates, augmente ainsi la pression sur l’entreprise pour réagir rapidement. Au cours du week-end, en raison de l’échec de la tentative d’extorsion, RansomHub a mis sa menace a exécution… les données ont alors été publiées !

Ransomhub, cyberattaque contre Kawasaki
Mur de la honte de Ransomhub – Source RansomLook

Impact sur les infrastructures de Kawasaki

Selon les informations recueillies par Hackread, les fichiers volés par RansomHub incluent des documents sensibles de Kawasaki, notamment des informations financières, des dossiers bancaires, des détails sur les concessionnaires, ainsi que des communications internes. Parmi les fichiers divulgués figurent notamment des répertoires intitulés « Dealer Lists », « Financing Kawasaki », « COVID » et « Trading Terms ». Ces dossiers contiennent des informations commerciales critiques pour l’entreprise, avec des dates récentes allant jusqu’à début septembre 2024.

Cette fuite de données expose Kawasaki à des risques importants, ayant notamment des conséquences sur ses relations commerciales et son image publique. Les informations financières sensibles et les communications internes pourraient également compromettre ses stratégies d’affaires à long terme. L’accès non autorisé à ces fichiers place l’entreprise dans une position particulièrement inconfortable face à ses partenaires commerciaux et clients. Ces derniers pourraient perdre confiance en la capacité de Kawasaki à protéger leurs informations…

Malgré cette intrusion, les opérations commerciales de Kawasaki n’ont pas été directement affectées. Les réseaux de distribution, les fournisseurs tiers ainsi que les processus logistiques sont restés fonctionnels.

La publication des données pourrait tout de même avoir des répercussions à plus long terme, en particulier si ces informations sont exploitées par des concurrents ou vendues à d’autres acteurs malveillants sur le dark web.

Gestion de crise et mesures prises par Kawasaki Europe

Après la découverte de l’intrusion début septembre 2024, Kawasaki Motors Europe (KME) a rapidement réagi en engageant des équipes de sécurité internes et des experts en cybersécurité externes pour évaluer l’étendue de l’incident et sécuriser les systèmes compromis. L’entreprise a également mis en place des mesures pour restaurer les opérations critiques et contenir la fuite de données.

Leur première priorité était de contenir la menace et de minimiser les pertes potentielles, tout en assurant une reprise rapide des opérations. Même si Kawasaki a précisé que ses opérations commerciales, incluant les concessionnaires et les fournisseurs tiers, n’ont pas été directement affectées par cette attaque, la menace représentée par la divulgation de données sensibles a forcé l’entreprise à réagir avec célérité et transparence.

Le groupe RansomHub, de son côté, n’a pas tardé à ajouter Kawasaki à son portail d’extorsion sur le dark web, où il a publié une partie des 487 Go de données qu’il prétend avoir exfiltrées. RansomHub a donné un délai strict à Kawasaki pour payer la rançon, menaçant de publier l’intégralité des données en cas de non-conformité. Cependant, malgré cette menace, la société n’a pas payé la rançon, ce qui a conduit à la divulgation publique de certaines données.

Face à cette situation, Kawasaki a intensifié ses efforts pour protéger ses systèmes et prévenir de nouvelles attaques. L’entreprise s’est également concentrée sur une communication ouverte avec ses partenaires commerciaux et ses clients pour limiter les impacts réputationnels de l’incident. Le défi majeur pour Kawasaki reste désormais de contenir les répercussions de cette fuite de données, notamment en ce qui concerne la protection des informations critiques divulguées, qui pourraient avoir des conséquences à long terme sur ses opérations commerciales et sa compétitivité sur le marché.

Analyse et recommandations : comment prévenir de futures attaques ?

La gestion de l’attaque par Kawasaki pointe du doigt plusieurs points critiques pour améliorer la cybersécurité des grandes entreprises face aux ransomwares . Pour éviter de telles attaques à l’avenir, il est impératif que les entreprises adoptent des stratégies proactives de surveillance et de détection des intrusions. La mise en place de systèmes de détection précoce des intrusions, combinée à une surveillance continue des réseaux, peut permettre d’identifier rapidement des comportements suspects avant qu’ils n’aboutissent à une compromission massive. Des audits réguliers des infrastructures IT permettent de s’assurer que les protections existantes sont à jour et conformes aux normes les plus récentes.

Le recours à des solutions de chiffrement des données sensibles permet aussi limiter l’impact d’une fuite éventuelle, en rendant les informations volées inutilisables par les attaquants. La sensibilisation des employés est également essentielle. Beaucoup de cyberattaques exploitent les erreurs humaines, notamment par le biais de l’hameçonnage (phishing). Former les équipes à identifier et à signaler les tentatives d’hameçonnage peut constituer une barrière efficace contre les attaques par ransomware. L’exemple de Kawasaki Europe montre que même les plus grandes entreprises ne sont pas à l’abri des cybercriminels et la nécessité de renforcer les protocoles de sécurité.

Cette attaque illustre l’importance d’une réponse rapide et d’une transparence vis-à-vis des parties prenantes. La mise en place d’une équipe dédiée à la gestion des cybercrises, capable d’évaluer rapidement l’ampleur de l’intrusion et de communiquer efficacement, est capitale pour limiter les dégâts. La préparation à la gestion de crise est plus que jamais indispensable. Kawasaki a démontré une certaine résilience dans sa réponse à l’attaque,une stratégie de communication de crise bien préparée, des plans de reprise après sinistre, et une collaboration avec les autorités compétentes peuvent grandement atténuer les conséquences d’une cyberattaque.

Une bonne solution : ne pas payer la rançon et restaurer ses données

Enfin, le non-paiement de la rançon par Kawasaki soulève des questions sur la manière la plus efficace de répondre aux cyberattaques par ransomware. Bien que céder aux demandes des criminels puisse parfois sembler la solution la plus simple pour protéger les données, cela encourage souvent d’autres attaques. Une réponse basée sur la résilience, la prévention et la dissuasion est la meilleure stratégie à long terme.

Toujours d’après Hackread, Jason Soroko, chargé de recherche chez Sectigo a émis cette hypothèse : « La déclaration officielle de Kawasaki Motors Europe affirmait que l’entreprise pouvait prendre le risque de perdre ses données plutôt que de payer la rançon, mais le groupe RansomHub a publié 487 Go de données prétendument volées. Cela suggère, mais ne prouve pas, que Kawasaki a choisi de ne pas négocier avec les attaquants, donnant la priorité à la restauration du système et au nettoyage des données ».

Il a aussi souligné que l’attitude de Kawasaki dans cette cyberattaque pourrait servir de modèle à d’autres entreprises. Plutôt que de négocier avec les cybercriminels, les entreprises devraient se concentrer sur la reprise de leurs activités et renforcer leurs systèmes de sécurité contre de futures attaques.

Plutôt que de payer une rançon, suivez l’exemple de Kawasaki et optez pour une solution durable. SOS Ransomware met à votre disposition des experts capables de récupérer vos données après une attaque, vous permettant de reprendre vos activités sans alimenter les cybercriminels…

Image de Florent Chassignol
Florent Chassignol
Attiré très jeune par l'informatique, je suis aujourd'hui Fondateur et CEO de Recoveo, leader français de la récupération de données. Vous êtes victime d'un ransomware, votre serveur est HS, votre téléphone a plongé dans la piscine ? Nous sommes là pour vous !

Partager cet article

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *