Le 21 octobre, Sopra Steria annonçait avoir détecté la veille au soir une cyberattaque la visant. Hier lundi 26 octobre, l’ESN indiquait avoir identifié le ransomware. Selon elle il s’agit d’une nouvelle version du ransomware Ryuk jusque-là inconnue des éditeurs d’antivirus et des agences de sécurité.
La signature de cette nouvelle version a été transmise à l’ensemble des éditeurs d’antivirus pour mise à jour de leurs fichiers et toutes les informations nécessaires concernant l’attaque ont été communiquées aux autorités compétentes, précise un communiqué qui ajoute qu’il a été établi que la cyberattaque avait été lancée quelques jours seulement avant sa détection. Sopra Steria précise encore que les mesures mises en oeuvre ont permis de contenir la propagation du virus « à une partie limitée des installations du groupe et de préserver ses clients et ses partenaires ». L’ESN parisienne indique qu’après des recherches approfondies, elle « n’a pas constaté de fuite de données ou de dommages causés aux systèmes d’information de ses clients ».
Le redémarrage « progressif et sécurisé » du système d’information et des opérations a redémarré hier. Toutefois le retour à une situation normale dans l’ensemble du groupe prendra quelques semaines.
Le communiqué n’indique bien entendu pas si une rançon a été versée.
Précisons par ailleurs que Kevin Beaumont, analyste en cybersécurité chez Microsoft, a indiqué dans un tweet qu’il avait constaté une éclosion de courriels de phishing étiquetés Sopra-Steria.