Le gestionnaire de fortune suisse Finaport a été victime d'une attaque de ransomware potentiellement grave. L'entreprise a confirmé mardi que des données volées sur ses serveurs avaient été publiées sur le darknet. Les recherches de watson montrent qu'il s'agit de boîtes mail Outlook d'actuels et d'anciens employés.
Les publications sont apparues dimanche sur le site du célèbre groupe de ransomware ALPHV.
Les cybercriminels, également connus sous le nom de Black Cat, sont considérés comme l'un des gangs de ransomware les plus dangereux et les plus agressifs. Ils appartiennent à la catégorie «ransomware as a service» (RaaS). Cela signifie qu'ils proposent à des tiers, contre paiement, l'infrastructure informatique nécessaire à leurs opérations d'extorsion sur Internet.
L'entreprise a informé l'autorité d'autorisation compétente dans les 24 heures suivant la découverte de la cyberattaque, indique-t-elle à la demande de watson. Cette procédure correspond aux directives pratiques de l'Autorité fédérale de surveillance des marchés financiers (Finma).
L'attaque aurait été dirigée «contre des systèmes centraux» de son propre service informatique. Dans la prise de position transmise par le CEO de Finaport Ltd, Fabian Jenny, on peut lire:
Tous les systèmes informatiques auraient ensuite été «réinstallés à zéro dans un environnement sécurisé» et ils refonctionneraient depuis une semaine.
Le site Internet de l'entreprise n'était pas accessible ces derniers jours. La filiale de Finaport, à Singapour, a également été touchée par la cyberattaque, précise le communiqué. La direction locale s'occupe de l'affaire.
Finaport se définit comme une société de gestion de fortune suisse indépendante et réglementée, avec des succursales en Suisse, à Singapour et au Liechtenstein. L'entreprise est entre autres un sponsor dans le tennis et a même donné son nom à un tournoi ATP à Zoug. Le siège de Finaport se trouve dans la ville de Zurich.
Il est encore trop tôt pour le dire et l'entreprise écrit:
Les bases de données centrales des clients des unités commerciales suisses et liechtensteinoises ne seraient pas concernées.
Pour toutes les données concernées par l'attaque, il existe des sauvegardes qui, selon Finaport, n'ont pas pu être attaquées.
La fuite sur le darknet laisse penser que Finaport n'a pas cédé aux exigences des pirates informatiques, qui seraient originaires de Russie.
L'Autorité fédérale de surveillance des marchés financiers (Finma) affirme ne pas pouvoir se prononcer sur ce cas particulier.
L'autorité de surveillance de la Confédération considère le thème «cyber» de manière générale comme «l'un des principaux risques pour le secteur financier» et accorde donc une grande importance à ce sujet dans les processus internes, souligne Tobis Lux, porte-parole de la Finma.
Il est clair que les attaques continueront d'exister et que leur quantité, leur qualité et leur complexité augmenteront. L'obligation de déclaration des entreprises concernées à la Finma constitue un instrument important pour la détection de tels cyberincidents.
Traduit de l'allemand (nva)