La société japonaise de matériel technologique Olympus se remet d’une attaque de ransomware qui a commencé aux premières heures du matin du 8 septembre et est attribuée au groupe de ransomware-as-a-service, BlackMatter.
L’attaque du ransomware Kaseya entraîne une demande florissante de sécurité MSP
Olympus a publié une brève déclaration selon laquelle indiqué elle « enquête actuellement sur un éventuel incident de cybersécurité » affectant son réseau informatique européen, moyen-oriental et africain. « Dès la détection d’une activité suspecte, nous avons immédiatement mobilisé une équipe d’intervention spécialisée comprenant des experts médico-légaux, et nous travaillons actuellement avec la plus haute priorité pour résoudre ce problème. Dans le cadre de l’enquête, nous avons suspendu les transferts de données dans les systèmes concernés et avons informé les partenaires externes concernés », indique le communiqué.
Mais selon des sources au courant de l’incident de la menace, des détails ont été partagés sur l’attaque, y compris une demande de rançon avant même qu’Olympus ne le reconnaisse. « Votre réseau est crypté et n’est pas actuellement opérationnel », aurait déclaré l’avis de rançon. « Si vous payez, nous vous fournirons les programmes de décryptage. »
L’alerte de rançon indiquait en outre une adresse Web vers un site accessible uniquement via le navigateur Tor, qui est connu pour être utilisé par le groupe BlackMatter pour collecter des rançons auprès de ses victimes.
Ce dernier incident illustre comment des attaques d’une certaine ampleur sont toujours organisées par des groupes de ransomware-as-a-service comme BlackMatter, lui-même une émanation de gangs de ransomware tels que DarkSide, qui a orchestré l’attaque très médiatisée contre Colonial Pipeline, et REvil, qui était à l’origine de l’attaque de Kaseya qui a touché des centaines d’entreprises et a disparu peu de temps après.
Ascension du ransomware-as-a-service
Les attaques Colonial et Kaseya ont exigé des rançons en échange d’un logiciel de décryptage pour déverrouiller l’infrastructure critique affectée, attirant l’attention de États-Unis et remettre les attaques de ransomwares sous les projecteurs.
Mais pourquoi des groupes comme BlackMatter, qui a émergé en juin et a jusqu’à présent été impliqué dans plus de 40 incidents de ransomware, sont-ils considérés comme des groupes de ransomware-as-a-service ? Bien qu’ils soient comme les auteurs de ransomware traditionnels en ce sens qu’ils envahissent généralement un système et cryptent les données avant d’exiger le paiement, de grands groupes comme BlackMatter louent l’accès à l’infrastructure à partir de laquelle leurs affiliés lancent des attaques.
Lorsque les rançons sont payées, BlackMatter en prend une part en échange de la location de son infrastructure. Les experts en menaces de ransomware Emsisoft également découvert les chevauchements de code et d’autres liens techniques qui associez BlackMatter à son prédécesseur prolifique DarkSide.