Clients de Kronos Private Cloud touchés par une attaque de ransomware

L’espace de la cybersécurité est en effervescence avec des interruptions de service, des données volées, des piratages de comptes, des escroqueries, des violations de données et des attaques de ransomware. Certains d’entre eux font les gros titres tous les jours. Personne n’est en sécurité, que ce soit Ikea, Volvo, les infrastructures critiques, les crypto wallets, ou encore le Premier ministre indien, dont le compte Twitter a récemment été piraté. Les individus et les organisations sont des cibles pour les acteurs de la menace.

Kronos, un fournisseur de cloud de gestion de la main-d’œuvre et du capital humain basé aux États-Unis, a récemment été attaqué par un gang de ransomware. L’interruption de service de sa plate-forme Kronos Private Cloud (KPC) a entraîné un chaos complet du côté des clients.

Kronos est un outil de RH et de paiement largement utilisé et possède une vaste clientèle mondiale.

Dans une communication envoyée aux clients KPC concernés, la société a signalé l’incident de cybersécurité qui avait perturbé le KPC. Une activité inhabituelle affectant les solutions de la société mère Ultimate Kronos Group (UKG) utilisant KPC a été remarquée et des mesures immédiates ont été prises pour enquêter et prévenir l’incident.

L’avis disait : « Il s’agit d’un incident de ransomware affectant le KPC – la partie de notre activité où UKG Workforce Central, UKG TeleStaff, Healthcare Extensions et Banking Scheduling Solutions sont déployés. Pour le moment, nous ne sommes pas au courant d’un impact sur UKG Pro, UKG Ready, UKG Dimensions ou tout autre produit ou solution UKG, qui sont hébergés dans des environnements distincts et non dans le Kronos Private Cloud.

Les services sont hors ligne

Les solutions KPC n’étaient pas disponibles et les clients ont été invités à évaluer et à mettre en œuvre des solutions alternatives pour assurer la continuité des activités. La société n’a pas été en mesure de fournir un délai précis pour restaurer les systèmes et ses services. Kronos a déclaré : « Aucune de ces solutions déployées dans des environnements sur site (auto-hébergés) n’est affectée et nous n’avons aucun impact sur UKG Pro, UKG Dimensions ou UKG Ready. »

Questions sans réponse

L’incident a été signalé le 11 décembre 2021 et nous n’avons aucune information sur l’adversaire, les techniques ou la demande de rançon. La société a seulement divulgué la nature de la violation et l’a attribuée à une attaque de ransomware. L’étendue des dommages causés aux clients est incommensurable car il s’agit d’applications de base utilisées quotidiennement par l’ensemble du personnel d’une organisation.

Shmulik Yehezkel, responsable des cyberopérations critiques chez CYE a déclaré : « Aujourd’hui, l’industrie classe les attaques en catégories : CNE, pour Computer Network Exploitation ou espionnage ; CNI, pour Computer Network Influence, et CNA pour Computer Network Attack ; cette année à venir, nous allons voir de plus en plus d’acteurs au niveau de l’État mener ce que nous appelons des attaques CN-ALL. Dans ce type d’attaque, les acteurs au niveau de l’État combineront tous les éléments de la cyberguerre – espionnage, influence et systèmes de désactivation. Ces attaques seront particulièrement difficiles car elles nécessitent une réponse simultanée sur plusieurs fronts. Les RSSI doivent être prêts à gérer les aspects techniques de la récupération des données et de l’accès aux systèmes de sauvegarde, tout en traitant également avec les forces de l’ordre et les équipes juridiques, en s’adressant aux médias et, si nécessaire, en informant les autorités réglementaires.

De nouvelles techniques et tendances ouvrent déjà la voie à 2022, et le nombre d’incidents de cybersécurité ne fait que se généraliser. Il fut un temps où la cybersécurité était une question de piratage et de virus, mais maintenant, il s’agit de protéger et de prévenir les failles de sécurité et les attaques parrainées par l’État.