jeudi, 28 mars 2024

L’attaque BlackMatter sur Olympus montre une augmentation inquiétante du ransomware-as-a-service

La société japonaise de matériel technologique Olympus se remet d’une attaque de ransomware qui a commencé aux premières heures du matin du 8 septembre et est attribuée au groupe de ransomware-as-a-service, BlackMatter.

L’attaque du ransomware Kaseya entraîne une demande florissante de sécurité MSP

Olympus a publié une brève déclaration selon laquelle indiqué elle « enquête actuellement sur un éventuel incident de cybersécurité » affectant son réseau informatique européen, moyen-oriental et africain. « Dès la détection d’une activité suspecte, nous avons immédiatement mobilisé une équipe d’intervention spécialisée comprenant des experts médico-légaux, et nous travaillons actuellement avec la plus haute priorité pour résoudre ce problème. Dans le cadre de l’enquête, nous avons suspendu les transferts de données dans les systèmes concernés et avons informé les partenaires externes concernés », indique le communiqué.

Mais selon des sources au courant de l’incident de la menace, des détails ont été partagés sur l’attaque, y compris une demande de rançon avant même qu’Olympus ne le reconnaisse. « Votre réseau est crypté et n’est pas actuellement opérationnel », aurait déclaré l’avis de rançon. « Si vous payez, nous vous fournirons les programmes de décryptage. »

L’alerte de rançon indiquait en outre une adresse Web vers un site accessible uniquement via le navigateur Tor, qui est connu pour être utilisé par le groupe BlackMatter pour collecter des rançons auprès de ses victimes.

Ce dernier incident illustre comment des attaques d’une certaine ampleur sont toujours organisées par des groupes de ransomware-as-a-service comme BlackMatter, lui-même une émanation de gangs de ransomware tels que DarkSide, qui a orchestré l’attaque très médiatisée contre Colonial Pipeline, et REvil, qui était à l’origine de l’attaque de Kaseya qui a touché des centaines d’entreprises et a disparu peu de temps après.

Ascension du ransomware-as-a-service

Les attaques Colonial et Kaseya ont exigé des rançons en échange d’un logiciel de décryptage pour déverrouiller l’infrastructure critique affectée, attirant l’attention de États-Unis et remettre les attaques de ransomwares sous les projecteurs.

Mais pourquoi des groupes comme BlackMatter, qui a émergé en juin et a jusqu’à présent été impliqué dans plus de 40 incidents de ransomware, sont-ils considérés comme des groupes de ransomware-as-a-service ? Bien qu’ils soient comme les auteurs de ransomware traditionnels en ce sens qu’ils envahissent généralement un système et cryptent les données avant d’exiger le paiement, de grands groupes comme BlackMatter louent l’accès à l’infrastructure à partir de laquelle leurs affiliés lancent des attaques.

Lorsque les rançons sont payées, BlackMatter en prend une part en échange de la location de son infrastructure. Les experts en menaces de ransomware Emsisoft également découvert les chevauchements de code et d’autres liens techniques qui associez BlackMatter à son prédécesseur prolifique DarkSide.

Un ransomware « important et sophistiqué » frappe une agence britannique

L’ancien fabricant d’appareils photo Olympus a vendu sa division d’appareils photo en perte de vitesse au début de l’année et se concentre désormais sur la technologie de reprographie optique et numérique pour les domaines de la médecine et des sciences de la vie. La société a déclaré qu’elle « travaillait actuellement pour déterminer l’étendue du problème et continuerait de fournir des mises à jour à mesure que de nouvelles informations seraient disponibles. »

Au moment de la rédaction de cet article, un site que le groupe BlackMatter aime utiliser pour publier les données de ses victimes, n’avait pas encore indiqué d’entrée pour Olympus.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici