Attaque par rançongiciel contre Amedia
Une attaque par rançongiciel a chiffré les systèmes centraux d'Amedia, le plus grand groupe de presse locale de Norvège, arrêtant les rotatives et perturbant les systèmes d'abonnement et de publicité de plus de 70 titres servant environ 2 millions de lecteurs. Amedia a refusé de payer.
- Victime
- Amedia
- utilisateurs
- 2.0M
Dans la nuit du 27 au 28 décembre 2021, une attaque par rançongiciel a frappé Amedia, le plus grand éditeur de journaux locaux de Norvège, chiffrant ses systèmes informatiques centraux et paralysant la production des journaux. Avec plus de 70 titres servant environ deux millions de lecteurs, l'attaque est instantanément devenue l'un des incidents cyber les plus perturbateurs ayant jamais touché la presse norvégienne.
Ce qui s'est passé
Les attaquants ont déployé un rançongiciel qui a chiffré les systèmes d'information centraux d'Amedia — les plateformes responsables de la production des journaux, de la gestion de la publicité et du traitement des abonnements. Lorsque ces systèmes sont tombés, Amedia s'est trouvée incapable d'imprimer la plupart de ses journaux. L'entreprise est parvenue à produire environ 20 journaux grâce à des flux de travail improvisés et alternatifs, mais la majorité n'a pas pu être imprimée dans les délais.
Les chercheurs en sécurité ont indiqué que la vulnérabilité PrintNightmare (CVE-2021-34527), une faille critique d'exécution de code à distance du spouleur d'impression Windows divulguée plus tôt en 2021, était un vecteur d'entrée soupçonné. Le gang de rançongiciels Vice Society — connu pour cibler les organisations lentes à corriger PrintNightmare — a été désigné comme l'auteur probable.
Exposition des données
Les systèmes centraux d'Amedia stockaient des données personnelles sensibles concernant à la fois les abonnés et les employés. Les fiches des abonnés comprenaient noms, adresses, numéros de mobile, adresses e-mail et historique d'abonnement ; les données des employés comprenaient contrats de travail, numéros de sécurité sociale (identité nationale) et informations salariales. Amedia a averti du risque que ces données aient été consultées, tout en poursuivant son enquête sur l'ampleur totale.
Réponse
Amedia a adopté une position publique ferme : elle a déclaré n'avoir aucune intention de payer la moindre rançon et a remis la note de rançon des attaquants à la police. L'entreprise a donné la priorité à la reconstruction de systèmes propres à partir de sauvegardes et au rétablissement de la capacité d'édition titre par titre au cours des jours suivants.
Pourquoi c'est important
L'attaque contre Amedia a souligné la dimension liberté de la presse des rançongiciels : en paralysant les systèmes de production d'un groupe de presse national, les attaquants peuvent réduire au silence des dizaines de médias locaux d'un coup, dégradant l'accès du public à l'information. Elle a aussi renforcé le danger que des vulnérabilités courantes non corrigées comme PrintNightmare — une faille pourtant dotée d'un correctif public — soient utilisées comme armes contre les infrastructures médiatiques. Le refus d'Amedia de payer, associé à une reprise fondée sur les sauvegardes, est devenu un exemple fréquemment cité de réponse disciplinée aux rançongiciels dans le secteur des médias nordiques.
Chronologie
Durant la nuit, les attaquants déploient un rançongiciel qui chiffre les systèmes d'information centraux d'Amedia.
Amedia découvre l'attaque ; les systèmes de production des journaux, de publicité et de gestion des abonnements cessent de fonctionner, arrêtant les rotatives.
Amedia met en place des flux de travail alternatifs pour produire environ 20 de ses journaux ; la plupart des autres titres ne peuvent être imprimés.
Amedia confirme n'avoir aucune intention de payer la rançon et transmet la note de rançon à la police.
Le gang de rançongiciels Vice Society est désigné comme l'auteur probable ; la vulnérabilité PrintNightmare est soupçonnée comme vecteur d'entrée.
Sources
- bankinfosecurity.comhttps://www.bankinfosecurity.com/ransomware-attack-affects-newspaper-publishing-in-norway-a-18221
- securityweek.comhttps://www.securityweek.com/norwegian-media-firm-amedia-suffers-disruption-due-cyberattack/
- securityaffairs.comhttps://securityaffairs.com/126130/hacking/amedia-cyberattack.html
- cpomagazine.comhttps://www.cpomagazine.com/cyber-security/norwegian-media-company-amedia-suffered-a-serious-cyber-attack-that-left-newspapers-unprinted/
- siliconangle.comhttps://siliconangle.com/2021/12/30/vice-society-hacks-norwegian-newspaper-takes-credit-spar-attack/