Depuis le mercredi 25 août, les transactions de la Bourse néozélandais, le NZX, sont régulièrement interrompues. En cause : une attaque informatique continue, initiée par un gang de cybercriminels.

Cela fait déjà trois jours, depuis le 24 août, que la Bourse néozélandaise, le NZX, doit interrompre les échanges d’actions de plusieurs marchés avant ses horaires de clôture. Et pour cause : elle subit des attaques par déni de service, qu’elle peine à contenir dans la durée.

Derrière ces cyberattaques se trouve un nouveau gang très actif, rapporte ZDNet. Le site américain attribue à ce groupe plusieurs attaques contre de grandes entreprises financières comme PayPal, Venmo et Moneygram, qui ont eu lieu cet été. Pour venir à cette conclusion, il s’appuie sur les recherches d’une équipe d’Akamai, qui a identifié l’organisation de cybercriminels dès le 17 août. Puisqu’il se présente sous un nouveau nom à chaque méfait, les chercheurs ne l’ont pas encore nommé. De son côté, NZX accuse des malfaiteurs étrangers d’être à l’origine de l’attaque.

Un nouveau gang de malfaiteurs lancent de puissances attaques DDoS puis exige une rançon pour les arrêter. // Source : Louise Audry pour Numerama

En revanche, l’objectif principal des malfaiteurs est clairement identifié : ils exigent par email le paiement d’une certaine somme d’argent en Bitcoin pour faire cesser leurs cyberattaques. «  Nous allons complètement détruire votre réputation et nous assurer que vos services restent hors ligne jusqu’à ce que vous payiez », menacent-ils leurs victimes.

Le groupe lance des attaques par déni de service (ou DDOS), capables de faire tomber hors ligne différents types de serveurs, de sorte que les services de la victime ne fonctionnent plus, entièrement ou partiellement. Pour y parvenir, les malfaiteurs envoient un flux de requêtes trop important qui va surcharger le réseau de leur cible. Puisqu’ils n’ont pas la capacité d’encaisser un tel flux d’information, les serveurs vont surchauffer et tomber hors ligne par mesure de préservation.

Les hackers changent leurs angles d’attaque pour maintenir la pression

La méthode de rançonnage des cybercriminels n’est pas nouvelle, même si elle n’est pas aussi populaire que celles des rançongiciels armés de malwares. Mais le groupe se distingue tout de même, puisqu’il attaque l’arrière-boutique de l’organisation et non sa face visible.

Généralement, les attaques DDoS visent les serveurs les plus proches des clients de l’entreprise. Mais dans le cas de NZX, les malfaiteurs visent l’infrastructure de Spark, son hébergeur (un équivalent de OVH, AWS ou Azure). Ils s’en prennent à des serveurs nécessaires au fonctionnement profond du site, comme ceux du backend, qui gèrent le stockage et les interactions avec les bases de données, ou les serveurs DNS, chargés d’aiguiller les communications sur le web.

Une fois arrêtés à cause de la surcharge d’informations, ces serveurs peuvent être assez longs à redémarrer, voire être endommagés, ce qui cause une panne prolongée du service d’échange d’action de NZX. Pire : les attaques contre les serveurs de Spark en charge du marché boursier affectent aussi les autres clients de l’hébergeur, à cause d’effets de bords difficilement évitables.

200 gigaoctets par seconde

Il faut dire que les malfaiteurs mettent des moyens importants, et développent des attaques sophistiquées : leur flux d’information a atteint un pic de 200 Go par seconde, et dépasse les 60 Go par seconde de moyenne. Cette vitesse n’est que très difficilement soutenable, même pour d’importantes infrastructures.

Et ce n’est pas tout : les cybercriminels essaient de toujours avoir un coup d’avance sur les mesures prises pour contenir leurs opérations, en changeant régulièrement leur cible dans le réseau de leur victime. Ce ping-pong permanent entre leur attaque et la défense de NZX expliquent que les fonctionnalités de NZX sont partiellement accessibles puis de nouveau inaccessibles par intervalle. Certains marchés sont ouverts, d’autres non, selon quelles infrastructures sont visées par le DDoS.

Cette attaque est inquiétante, puisque la place de marché est considérée comme un service essentiel, et bénéficie de protections supplémentaires allouées aux infrastructures critiques.

Crédit photo de la une : Le Loup de Wall Street / YouTube

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux