La société de services informatiques et de conseil aux entreprises HTC Global Services a confirmé avoir subi une cyberattaque après que le gang de ransomware ALPHV a commencé à divulguer des captures d'écran de données volées.

HTC Global Services est un fournisseur de services gérés proposant des services technologiques et commerciaux aux secteurs de la santé, de l'automobile, de la fabrication et de la finance.

Bien que HTC n'ait pas publié de déclaration sur le site Web de la société, ils ont publié hier soir une brève annonce sur X confirmant l'attaque.

« HTC a connu un incident de cybersécurité », lit-on un tweet publié sur le compte X de HTC hier soir.

« Notre équipe a activement enquêté et résolu la situation pour garantir la sécurité et l'intégrité des données des utilisateurs. »

« Nous avons fait appel à des experts en cybersécurité et travaillons à résoudre le problème. Votre confiance est notre priorité. »

Cette annonce intervient après que le gang de ransomwares ALPHV (BlackCat) ait répertorié HTC sur son site de fuite de données, ainsi que des captures d'écran de données prétendument volées.

Les données divulguées comprennent des passeports, des listes de contacts, des e-mails et des documents confidentiels qui auraient été volés lors de l'attaque.

Même si peu d'informations sur l'attaque contre HTC sont disponibles, le professionnel de la cybersécurité Kevin Beaumont pense que l'entreprise a été victime d'une violation en utilisant la vulnérabilité Citrix Bleed.

Selon Beaumont, l'une des unités commerciales de HTC, CareTech, exploitait un appareil Citrix Netscaler vulnérable, qui a été exploité pour un accès initial au réseau de l'entreprise.

BleepingComputer a contacté HTC Global Services pour lui poser des questions sur l'attaque et savoir si l'entreprise avait été piratée à l'aide de Citrix Bleed, mais aucune réponse n'était immédiatement disponible.

L'ALPHV accumule les victimes

L’opération de ransomware ALPHV/BlackCat lancée en novembre 2021 est considérée comme une nouvelle image des opérations de ransomware DarkSide et BlackMatter.

Sous le nom de DarkSide, le groupe a attiré l'attention internationale après avoir violé Colonial Pipeline, entraînant une pression intense de la part des forces de l'ordre du monde entier.

Après avoir été rebaptisés BlackMatter en juillet 2021, leurs opérations ont brusquement cessé en novembre 2021 lorsque les autorités ont saisi leurs serveurs et que la société de sécurité Emsisoft a créé un décrypteur exploitant une vulnérabilité de ransomware.

Cette opération de ransomware est connue pour cibler systématiquement les entreprises mondiales et pour adapter et affiner continuellement ses tactiques, et a récemment connu une recrudescence des attaques.

Cette évolution implique de travailler avec des acteurs de la menace anglophones, qui utilisent leurs chiffreurs et leur infrastructure pour lancer des attaques d'extorsion.

Lors d'un incident récent, un groupe d'affiliés anglophones suivis sous le nom de Scattered Spider a revendiqué la responsabilité de l'attaque contre MGM Resorts, affirmant avoir chiffré plus de 100 hyperviseurs ESXi pendant l'attaque.

Cette semaine, un affilié de l'ALPHV a affirmé avoir volé des données à Tipalti et a déclaré avoir commencé à extorquer individuellement les entreprises concernées.

L’entreprise a également récemment attaqué un fournisseur public d’électricité et un réseau hospitalier, tous deux classés comme infrastructure critique aux États-Unis.

Les attaques contre les infrastructures critiques pourraient une fois de plus être le point de bascule qui mènera à une surveillance accrue de la part des forces de l’ordre américaines.