Posté le mai 17, 2021 à 17:53
UNE FILIALE DE TOSHIBA DEVIENT LA DERNIÈRE CIBLE D’ATTAQUE PAR RANSOMWARE
Une filiale de Toshiba a révélé que ses serveurs ont récemment été attaqués par le groupe de ransomware DarkSide. Il s’agit de la troisième attaque de ransomware au cours des derniers jours, dont deux ont été exécutées par le groupe DarkSide.
Les autres entités visées comprennent le système de santé irlandais Health Service Executive et la société américaine de gazoducs Colonial Pipeline.
Takashi Yoshikawa, analyste principal des logiciels malveillants chez Mitsui Bussan Safe Instructions, a déclaré que DarkSide comptait environ 30 équipes. Il a ajouté que les équipes conçoivent toujours des moyens de pirater les entreprises de manière régulière. « Ils ont réussi cette fois-ci avec Toshiba », a-t-il déclaré.
M. Yoshikawa a également indiqué que de nombreuses entreprises ont été fragilisées par les travailleurs qui accèdent aux fichiers de l’entreprise depuis des zones éloignées à cause du confinement.
Environ 740 gigaoctets de données compromises
Selon les captures d’écran mises en ligne par DarkSide, plus de 740 gigaoctets de données ont été compromis, notamment des passeports et différentes informations privées.
Le nombre d’attaques par ransomware a augmenté ces derniers temps, les acteurs malveillants profitant des failles offertes par la période du Covid-19. Certains chiffrent les données et exigent des paiements de rançon en actifs cryptographiques pour les débloquer.
Après l’attaque de ransomware contre le Health Service Executive, l’institution a fermé ses programmes informatiques pour éviter toute nouvelle cyberattaque contre ses serveurs.
Le groupe DarkSide évite les attaques contre les entreprises de l’ex-Union soviétique
Selon les experts en cybersécurité qui enquêtent sur l’affaire Colonial aux États-Unis, les acteurs malveillants de DarkSide comprennent des russophones et ils n’attaquent pas les organisations de l’ancienne Union soviétique.
Les experts en sécurité ont également ajouté que le groupe s’occupe de la négociation de la rançon après que ses affiliés ont mené les attaques.
Toshiba a récemment rejeté une offre de rachat de 20 milliards de dollars de CV Capital au début de l’année. Par la suite, les actionnaires ont demandé à Toshiba de rechercher des offres de la part de repreneurs potentiels. En réponse, les dirigeants de la société déclarent qu’ils organisent un comité d’examen stratégique, avec UBS comme conseiller financier.
L’examen sera effectué par un directeur indépendant afin d’aider le conseil d’administration à établir un nouveau plan d’affaires avant la fin de l’année. Toshiba a déclaré que seule une petite quantité de données non critiques avait été perdue lors de l’attaque.
Colonial Pipeline a payé une rançon suite à l’attaque
Colonial Pipeline aurait payé 5 millions de dollars au groupe ransomware DarkSide pour décrypter les systèmes verrouillés qui ont affecté les activités opérationnelles du géant du carburant pendant une semaine.
La firme affirme avoir repris ses activités après le décryptage des fichiers, mais on ne peut nier le fait que sa réputation a été gravement affectée.
Le groupe DarkSide propose des variantes de ransomware aux affiliés qui adhèrent à leurs activités. Quel que soit le bénéfice réalisé par le groupe affilié, DarkSide en conserve un pourcentage. Les affiliés peuvent également utiliser des tactiques de double extorsion, où les fichiers de l’entreprise sont volés pendant une attaque.
Toute entreprise qui se désiste pour répondre à leurs demandes de rançon sera finalement menacée par l’exposition des fichiers volés au public.
L’attaque contre Toshiba a commencé la semaine dernière, comme le rapporte Bloomberg. Cependant, on ne sait pas si l’entreprise a répondu aux demandes de rançons des hackers.
Selon les chercheurs de FireEye, les développeurs de DarkSide prennent un bénéfice de 10 % pour les paiements de rançon supérieurs à 5 millions de dollars, et de 25 % pour les paiements inférieurs à 500 000 dollars.
Toshiba interrompt temporairement ses réseaux
Toshiba fabrique des produits tels que des imprimantes, des systèmes de point de vente (PoS) et d’autres équipements électriques. Cependant, il semble que ce soit la filiale française de l’entreprise qui ait été visée par l’attaque.
Après l’attaque, Toshiba Tec a fermé ses réseaux entre l’Europe et le Japon, ainsi que ses filiales, pour « empêcher la propagation des dommages. »
Dans l’autre attaque par ransomware contre le système de santé irlandais, aucun groupe n’a encore revendiqué la responsabilité. Toutefois, on pense que l’outil d’attaque utilisé était le « Conti-human-operated ransomware ».
Le Premier ministre Micheál Martin a déclaré que le centre de santé ne paiera aucune rançon pour les données cryptées. « Nous sommes très clairs, nous ne paierons aucune rançon », a-t-il déclaré.
Le taux de paiement de rançons a augmenté ces derniers temps
Le rapport sur les ransomwares du 1er trimestre 2021 publié par Coveware a montré que le nombre de paiements de rançons aux acteurs malveillants a augmenté ces derniers temps. Le rapport a montré que le paiement moyen d’une rançon a augmenté de 43 %, passant de 154 000 dollars au quatrième trimestre 2020 à 220 000 dollars au premier trimestre 2021. Les données indiquent également que le vol de données d’entreprise entre acteurs malveillants est en augmentation.