Un datacenter suédois de la société finlandaise TietoEvry a été victime d’un ransomware lancé par des hackers russes. De grands clients ont été touchés. L’opérateur de services cloud et informatiques peine à rétablir les services qui sont tombés.
La société finlandaise TietoEvry a subi une attaque du ransomware Akira, du nom du groupe de hackers russes qui se cache derrière le logiciel malveillant, dans la nuit du 19 au 20 janvier. L’attaque a touché les serveurs de virtualisation et de gestion de TietoEvry dans un seul de ses datacenters.
TietoEvry a répondu rapidement à l’attaque en isolant la plate-forme concernée, en ouvrant une enquête et en s’efforçant de restaurer les services. TietoEvry a également reçu une demande de rançon, que son CEO Kimmo Alkio a refusé de payer.
176 organisations affectées par l’attaque
Au 26 janvier, le décompte des victimes était le suivant : 91 administrations et agences, 2 institutions politiques, 5 régions, 8 municipalités, 1 hôpital, 21 universités, 12 instituts, 12 musées, 18 entreprises, 6 autres.
Les dossiers médicaux des malades dans les hôpitaux n’étaient plus accessibles. Les amateurs de cinéma n’ont pu acheter des billets en ligne sur Filmstaden. Les universités n’ont pu accéder aux bases de données du personnel. Les sites Web de la chaîne de vente au détail Rusta, du fournisseur agricole Granngården, et du monopole suédois de l’alcool Systembolaget ont été rendus indisponibles.
L’attaque a en particulier perturbé les opérations du système de paie et de ressources humaines Primula, utilisé par les agences gouvernementales suédoises. Jusqu’à la Banque centrale de Suède qui figure parmi les victimes, une partie de ses systèmes informatiques rendus inaccessibles.
Un impact très… politique
L’affaire a très rapidement pris une tournure politique lorsqu’on a appris que l’attaque a affecté le parlement suédois, et que des données personnelles auraient été divulguées… sans que cela ait été démontré.
Le président de la commission de la défense du parlement, Peter Hultqvist, a déclaré : « C’est vraiment grave ; c’est énorme. 120 agences, 60 000 employés, y compris le Parlement« .
L’attaque s’est déroulée durant la nuit du 19 au 20 janvier. Une semaine après que le Cyber Security Center finlandais a émis la semaine dernière un avertissement concernant le malware Akira, la Finlande semblant à cette époque focaliser l’attention des hackers russes.
Depuis l’attaque, la société s’est attelée à remettre tous les services en place, la restauration des données se révèle complexe. Nous n’avons pas plus d’information à ce sujet.
On notera cependant que ce n’est pas la première fois que le datacenter de TietoEvry est ciblé par un malware. En février 2021, la société a signalé de graves perturbations causées par une attaque déjà menée avec un ransomware lié aux attaques criminelles mondiales contre Kaseya et SolarWinds.