Posté le novembre 13, 2022 à 6:08
LE GÉANT CANADIEN DE LA DISTRIBUTION ALIMENTAIRE SOBEYS EST LA DERNIÈRE VICTIME D’UNE ATTAQUE PAR RANSOMWARE
Le géant Canadien de la distribution alimentaire Sobeys est la dernière victime en date d’une cyberattaque. L’entreprise connaît des problèmes avec ses systèmes informatiques depuis l’attaque.
L’un des deux détaillants d’épicerie nationaux au Canada, Sobeys exploite un réseau de 1 500 magasins et emploie 134 000 personnes. Ses activités couvrent les dix provinces sous plusieurs bannières de détail, dont Thrifty Foods, FreshCo, IGA, Safeway, Lawtons Drugs et Foodland.
Sobeys maintient son engagement malgré les perturbations
La société mère de Sobeys, Empire, a déclaré dans un communiqué de presse que, bien que ses épiceries soient toujours en activité, le problème informatique à l’échelle de l’entreprise a eu des incidences sur certains services.
En outre, certaines des pharmacies de l’entreprise rencontrent également des problèmes techniques pour honorer les ordonnances. Mais Sobeys a assuré qu’elle était plus engagée que jamais et qu’elle continuerait à s’occuper de tous les patients de ses pharmacies. L’organisation a fait remarquer que son équipe de sécurité travaille sans relâche pour résoudre tous les problèmes informatiques et réduire les perturbations affectant les magasins.
La société a également publié une déclaration sur son site web officiel annonçant la violation et informant les clients que tous les magasins restent ouverts. L’entreprise a aussi déclaré qu’elle ne connaissait pas de perturbation majeure de ses opérations à la suite de la violation.
Cependant, les rapports des employés indiquent que les ordinateurs des magasins Sobeys concernés étaient verrouillés. Les systèmes de traitement des paiements et les systèmes de point de vente (PDV) sont toujours en ligne et opérationnels puisqu’ils ont été configurés pour fonctionner sur un réseau différent.
La presse a contacté Sobeys pour obtenir plus d’informations sur cette violation, mais l’entreprise n’a pas encore répondu.
La violation a été causée par l’attaque du ransomware Black Basta
Bien que Sobeys n’ait pas divulgué beaucoup de détails sur l’incident de piratage, les médias locaux affirment que les autorités de réglementation provinciales Canadiennes de l’Alberta et du Québec ont déclaré avoir reçu des messages de l’entreprise à ce sujet.
La notification d' »incident confidentiel » n’est envoyée aux autorités de réglementation que lorsqu’une violation a entraîné l’accès à des informations personnelles.
En outre, selon les tableaux de négociation et les notes de rançon que BleepingComputer a vus, les acteurs de la menace ont utilisé les charges utiles du ransomware Black Basta dans l’attaque. Ces charges utiles ont été utilisées pour crypter les systèmes ciblés sur le réseau de Sobeys. De multiples sources ont noté que l’incident de piratage s’est produit tôt dans la matinée de samedi.
Les acteurs de la menace exigent une rançon non divulguée
Des employés de Sobeys partagent des photos en ligne, qui montrent des ordinateurs en magasin affichant une note de rançon de Black Basta.
Les rançons demandées par les acteurs de la menace diffèrent selon les victimes. Les demandes sont plus élevées pour les organisations plus établies, reconnues et actives dans le monde entier. Dans l’un des incidents de piratage, le hacker a exigé une rançon de plus de 2 millions de dollars pour qu’un décrypteur cesse de divulguer les données volées en ligne. Bien qu’une demande ait été faite par les acteurs de la menace concernant la violation de Sobeys, le montant de la rançon demandée n’est pas connu du public.
Bien qu’il n’y ait pas assez de détails disponibles sur le groupe de ransomware, l’opération n’est probablement pas nouvelle vu son niveau de sophistication et son style de négociation. Les chercheurs pensent que même s’il s’agit d’un nouveau groupe, ses membres ont l’expérience des attaques de ransomware de groupes précédents.
Black Basta a attaqué environ 50 organisations depuis avril
Les chercheurs en sécurité ont repéré le ransomware Black Basta dans des attaques en avril de cette année. En juin, Black Basta a été découvert en train de déployer des charges utiles sur des systèmes initialement compromis par des opérateurs Qbot. Depuis lors, les acteurs de la menace responsables de ce logiciel malveillant ont étendu leurs opérations à plusieurs organisations dans le monde entier.
Certains nouveaux groupes de ransomware sont un renouveau de groupes plus anciens. Certains ont même établi un lien entre le groupe et d’autres gangs de ransomware plus anciens. Le Black Basta a été lié au célèbre groupe de ransomware Conti, bien que cela n’ait pas encore été confirmé.
Par ailleurs, Sentinel Labs affirme avoir découvert des preuves qui relient Black Basta au groupe de hackers Russes connu sous le nom de FIN7. Ce groupe est connu pour avoir ciblé des centaines d’entreprises dans le monde entier lors d’attaques de spear-phishing basées sur les points de vente. Des perturbations et des tentatives infructueuses ont également été enregistrées.
Le ransomware Black Basta aurait déjà touché une cinquantaine d’organisations dans le monde. Son mode opératoire est l’exfiltration des données des entreprises ciblées avant de crypter les fichiers sur les systèmes informatiques de l’entreprise. Les victimes auraient été touchées dans des pays du monde entier, notamment en Australie, au Canada, en Inde, aux États-Unis, aux Émirats Arabes Unis et en Nouvelle-Zélande. Il a été conseillé aux organisations de faire davantage en matière de sécurité de leurs systèmes et de former leurs employés aux règles de sécurité lors de l’utilisation d’appareils connectés à Internet.
