Posté le février 14, 2022 à 7:33
LE GROUPE DE RANSOMWARE BLACKBYTE ATTAQUE LES SAN FRANCISCO 49ERS
Les San Francisco 49ers ont été la dernière victime d’une attaque du groupe de ransomware BlackByte. L’équipe a été attaquée quelques heures seulement avant le début de l’événement Super Bowl.
L’équipe a été ajoutée à la liste des victimes qui ont été touchées par ce groupe de ransomware. L’entreprise a depuis confirmé que cette attaque a eu lieu. Dans une déclaration, elle a dit qu’elle avait « récemment pris connaissance d’un incident de sécurité du réseau. »
Les San Francisco 49ers attaqués par un groupe de ransomware
Dans un communiqué, un porte-parole de l’équipe a déclaré : « Dès que nous avons appris l’incident, nous avons immédiatement ouvert une enquête et pris des mesures pour le maîtriser. Des entreprises de cybersécurité tierces ont été engagées pour nous aider, et les forces de l’ordre ont été prévenues.
San Francisco 49ers a déclaré que l’enquête sur cette affaire avait été lancée. Il a ajouté que l’enquête préliminaire a montré que l’attaque était limitée à son réseau informatique d’entreprise.
« À ce jour, nous n’avons aucune indication que cet incident implique des systèmes en dehors de notre réseau d’entreprise, tels que ceux connectés aux opérations du Levi’s Stadium ou aux détenteurs de billets. Alors que l’enquête se poursuit, nous travaillons avec diligence pour restaurer les systèmes concernés aussi rapidement et aussi sûrement que possible », a ajouté le porte-parole.
Samedi soir, le nom de l’équipe est apparu sur le site de fuite du groupe de ransomware BlackByte. Deux semaines avant l’événement, les San Francisco 49ers étaient à deux doigts de participer au Super Bowl.
La menace du groupe de ransomware BlackByte a augmenté
Le Federal Bureau of Investigations (FBI) a récemment publié un avertissement concernant le groupe de ransomware BlackByte. Ce groupe a été attribué à une série d’attaques aux États-Unis et dans d’autres pays. Le groupe n’est pas spécifique quant à l’infrastructure ou l’organisation qu’il doit attaquer, ce qui en fait une menace majeure pour les secteurs critiques.
L’avertissement du FBI indique qu' »en novembre 2021, le groupe BlackByte avait compromis de multiples entreprises américaines et étrangères, y compris des entités dans au moins trois secteurs d’infrastructures critiques américaines (installations gouvernementales, financières, et agroalimentaires). BlackByte est un groupe de ransomware as a Service (RaaS) qui crypte les fichiers sur les systèmes hôtes Windows compromis, y compris les serveurs physiques et virtuels. »
Le FBI a également illustré les différentes façons dont ce groupe de hackers a mené ses attaques. Certaines des victimes ciblées ont déclaré avoir exploité une vulnérabilité sur les serveurs Microsoft exchange. En fonction des systèmes de cybersécurité installés par une organisation, le groupe de ransomware pouvait crypter complètement les données ou les crypter partiellement.
« Certaines victimes ont signalé que les acteurs ont utilisé une vulnérabilité connue de Microsoft Exchange Server comme moyen d’accéder à leurs réseaux. Une fois entrés, les acteurs déploient des outils pour se déplacer latéralement sur le réseau et escalader les privilèges avant d’exfiltrer et de crypter les fichiers. Dans certains cas, les acteurs du ransomware BlackByte n’ont que partiellement crypté les fichiers. »
Les affirmations de ces victimes ont été corroborées par une analyse de Red Canary qui a analysé les opérations du groupe de ransomware. Selon l’analyse, les attaquants ont obtenu un accès initial au réseau en exploitant les vulnérabilités présentes dans les failles ProxyShell. Les vulnérabilités nommées CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207 se trouvent dans le serveur Microsoft Exchange.
Le groupe BlackByte ransomware a représenté une menace majeure pour les organisations et les organismes publics, bien que ses premières opérations aient été détectées l’année dernière. Il est difficile de se protéger contre la plupart des nouveaux groupes de menaces en raison de leurs techniques nouvelles et avancées ; il n’en va pas de même pour le groupe de ransomware BlackByte.
En octobre de l’année dernière, TrustWave, une société de cybersécurité, a créé un décrypteur BlackByte. Ce dispositif est disponible en téléchargement sur GitHub. Les recherches de l’entreprise ont révélé que la version initiale du groupe de ransomware BlackByte a installé et exécuté la même clé. Cette clé était utilisée pour crypter des fichiers. Ce mode de fonctionnement est différent de celui utilisé par les opérateurs de ransomware sophistiqués qui utilisent des clés uniques pour chaque session, ce qui rend difficile le décryptage des fichiers par les entreprises de cybersécurité.
Le FBI a également déclaré qu’une version moins vulnérable du ransomware avait été lancée en novembre. Cette version a coïncidé avec le lancement du décrypteur par TrustWave. Cette version représente toujours une menace importante pour les organisations.
Brett Callow, un expert en ransomware d’Emsisoft, a déclaré que BlackByte est une opération de type RaaS (Ransomware-as-a-service). Selon Callow, les individus à l’origine de cette attaque de ransomware pourraient être du même pays ou non.
Bien que ces attaques de ransomware n’aient été liées à aucun pays, M. Callow a ajouté que « comme de multiples autres types de ransomware, BlackByte ne crypte pas les ordinateurs qui utilisent les langues de la Russie et des pays post-soviétiques. »
