Le groupe de piratage est sur une larme, frappant les infrastructures critiques américaines et les SF 49ers

Le groupe de piratage est sur une larme, frappant les infrastructures critiques américaines et les SF 49ers

14 février 2022 0 Par Le Caiman
Un casque pour l'équipe de football des 49ers de San Francisco.

Quelques jours après que le FBI a averti qu’un groupe de rançongiciels appelé BlackByte avait compromis une infrastructure critique aux États-Unis, le groupe a piraté des serveurs appartenant à l’équipe de football des 49ers de San Francisco et a détenu certaines des données de l’équipe contre une rançon.

Les représentants des médias de la franchise NFL ont confirmé une faille de sécurité dans une déclaration envoyée par e-mail à la suite d’un message sur le site Web sombre de BlackByte, sur lequel le groupe tente de faire honte et d’effrayer les victimes pour qu’elles effectuent de gros paiements en échange d’une promesse de ne pas divulguer les données et de fournir une clé de déchiffrement permettant de récupérer les données. Le récent message a mis à disposition pour téléchargement un fichier de 379 Mo nommé «2020 Invoices» qui semblait montrer des centaines de relevés de facturation que les 49ers avaient envoyés à des partenaires, notamment AT&T, Pepsi et la ville de Santa Clara, où les 49ers jouent à des jeux à domicile.

Trois mois bien remplis

Dans une déclaration envoyée par courrier électronique, les représentants de la franchise ont déclaré que les enquêteurs évaluaient toujours la violation.

« Alors que l’enquête est en cours, nous pensons que l’incident est limité à notre réseau informatique d’entreprise », indique le communiqué. « À ce jour, nous n’avons aucune indication que cet incident implique des systèmes extérieurs à notre réseau d’entreprise, tels que ceux connectés aux opérations du Levi’s Stadium ou aux détenteurs de billets. »

L’équipe a déclaré avoir informé les forces de l’ordre et travailler avec des sociétés de cybersécurité tierces pour mener l’enquête. « [W]Nous travaillons avec diligence pour restaurer les systèmes impliqués aussi rapidement et en toute sécurité que possible », ajoute le communiqué.

Vendredi, le FBI et les services secrets ont publié un déclaration conjointe qui a averti que BlackByte, un groupe repéré pour la première fois l’année dernière, s’est livré à une frénésie de piratage au cours des trois derniers mois qui a réussi à percer un éventail de réseaux sensibles.

« En novembre 2021, le rançongiciel BlackByte avait compromis plusieurs entreprises américaines et étrangères, y compris des entités dans au moins trois secteurs d’infrastructures critiques aux États-Unis (installations gouvernementales, financières, alimentaires et agricoles) », indique l’avis. « BlackByte est un groupe Ransomware as a Service (RaaS) qui crypte les fichiers sur les systèmes hôtes Windows compromis, y compris les serveurs physiques et virtuels. »

Obus, insectes et bombes imprimées

BlackByte est apparu pour la première fois en juillet dernier, lorsque les gens en ont discuté dans un Ordinateur qui bipe forum. Une première version du ransomware de BlackByte contenait une faille qui exposait les clés de chiffrement utilisées pour verrouiller les données des victimes. Le bogue a permis à la société de sécurité Trustwave de publier un outil de décryptage qui a récupéré des données gratuitement. Une version mise à jour a corrigé le bogue.

Une Analyse publié par la société de sécurité Red Canary a déclaré que le groupe de piratage a pu pirater certaines de ses victimes en exploitant ProxyShell, le nom d’une série de vulnérabilités dans Microsoft Exchange Server qui permet aux pirates d’obtenir l’exécution de code à distance de pré-authentification. À partir de là, les acteurs malveillants pourraient installer un shell qui dirige les commandes vers le serveur compromis. Une foule d’adversaires – parmi lesquels des pirates iraniens soutenus par des États-nations – ont exploité les vulnérabilités. Microsoft les a corrigés en mars dernier.

Une autre caractéristique de BlackByte, a déclaré Red Canary, était son utilisation du « print bombing ». Cette fonctionnalité a amené toutes les imprimantes connectées à un réseau infecté à imprimer des notes de rançon en haut de chaque heure qui disaient : « Votre[sic] HACKÉ par l’équipe BlackByte. Connectez-nous pour restaurer votre système. ”

L’avis conjoint émis par le FBI et les services secrets n’a identifié aucune des organisations qui ont été violées par BlackByte. L’avis a également fourni une liste d’indicateurs que les administrateurs et le personnel de sécurité peuvent utiliser pour déterminer si les réseaux ont été compromis par le groupe. Il n’est pas inhabituel pour les pirates de rançongiciels de rester dans des réseaux compromis pendant des semaines alors qu’ils s’efforcent de se faufiler. Les administrateurs doivent utiliser la liste des indicateurs dès que possible pour déterminer si leurs réseaux ont été piratés.