La Bibliothèque publique de Toronto connaît des pannes techniques continues en raison d’une attaque du ransomware Black Basta.

La Bibliothèque publique de Toronto (TPL) est le plus grand système de bibliothèques publiques au Canada, donnant accès à 12 millions de livres par l’intermédiaire de 100 succursales de bibliothèques à travers la ville. Le système de bibliothèques compte 1 200 000 membres inscrits et fonctionne avec un budget dépassant les 200 millions de dollars.

Plus tôt cette semaine, TPL a averti qu’une cyberattaque provoquait des pannes techniques sur ses sites Web et certains services en ligne.

Ces pannes incluent la mise hors ligne du site tpl.ca, l’impossibilité d’accéder à votre compte en ligne et des pannes des services tpl:map pass et des collections numériques.

La bibliothèque a averti que les ordinateurs publics et les services d’impression sont également indisponibles.

La Bibliothèque publique de Toronto affirme qu’il n’y a aucune preuve que les informations personnelles du personnel ou des clients ont été compromises et qu’elle enquête activement sur l’incident avec les forces de l’ordre et des experts tiers en cybersécurité.

« TPL s’est préparé de manière proactive aux problèmes de cybersécurité et a rapidement pris des mesures pour atténuer les impacts potentiels », indique un avis sur un site Web de la bibliothèque temporaire hébergé sur Typepad.

« Nous avons fait appel à des experts tiers en cybersécurité pour nous aider à résoudre cette situation. Nous prévoyons cependant qu’il faudra peut-être plusieurs jours avant que tous les systèmes soient entièrement rétablis pour fonctionner normalement. »

Avez-vous des informations à ce sujet ou sur une autre attaque de ransomware ? Si vous souhaitez partager les informations, vous pouvez nous contacter de manière sécurisée et confidentielle sur Signal au +1 (646) 961-3731, par e-mail à lawrence.abrams@bleepingcomputer.com ou en utilisant notre formulaire de conseils.

Le rançongiciel Black Basta à l’origine de l’attaque contre TPL

BleepingComputer a depuis appris que l’opération du ransomware Black Basta est à l’origine de l’attaque contre la bibliothèque publique de Toronto.

Une photo de la demande de rançon partagée avec BleepingComputer nous a permis de confirmer que l’opération du ransomware était à l’origine de l’attaque.

Selon un employé de TPL, l’attaque s’est produite dans la nuit du 27 octobre, impactant de nombreux services samedi matin.

BleepingComputer a été informé que l’attaque n’avait pas touché les téléphones et avait un impact limité sur la messagerie électronique, les personnes connectées à leur compte Office 365 pouvant toujours y accéder. Cependant, les employés qui n’étaient pas actuellement connectés au courrier électronique ne pouvaient plus accéder au système.

Tous les autres systèmes internes ont été arrêtés après l’attaque par mesure de précaution afin d’empêcher la propagation du logiciel malveillant.

On nous a dit que les principaux serveurs de l’organisation contenant des données sensibles n’étaient pas cryptés, ce qui signifie potentiellement que les auteurs de la menace n’avaient pas un accès complet aux réseaux et aux données de l’organisation.

Même si l’on ne sait pas encore si le groupe de ransomwares a volé des données lors de l’attaque, le vol de données constitue un élément important de leur stratégie d’extorsion.

Nous saurons si des données ont été volées si les acteurs de la menace l’utiliseront comme levier pour faire pression sur TPL pour qu’il paie une rançon.

Qui est Black Basta ?

Le gang de ransomwares Black Basta a lancé son opération de ransomware en avril 2022 et a rapidement commencé à cibler les entreprises victimes dans le cadre d’attaques de double extorsion.

L’une de ses premières attaques a eu lieu contre l’American Dental Association, au cours de laquelle les auteurs de la menace ont divulgué des données volées.

En juin 2022, Black Basta s’était associé à l’opération de malware QBot pour déposer des balises Cobalt Strike sur les appareils infectés pour un accès initial aux réseaux d’entreprise.

Une fois qu’ils avaient accès à un réseau, ils volaient des informations d’identification et se propageaient latéralement dans tout le réseau tout en volant des données.

Une fois que toutes les données ont été volées et que les pirates ont accédé au contrôleur de domaine Windows, les acteurs malveillants déploient un chiffreur sur tout le réseau pour chiffrer les appareils.

Comme presque toutes les opérations de ransomware, Black Basta utilise un chiffreur Linux pour cibler les machines virtuelles VMware ESXi exécutées sur des serveurs Linux.

En juin 2022, l’opération du ransomware Conti a été interrompue après avoir subi une série de violations de données embarrassantes. Les chercheurs pensent que le syndicat de la cybercriminalité s’est divisé en petits groupes, l’un d’entre eux étant probablement Black Basta.

Cependant, d’autres chercheurs pensent qu’il existe un lien entre Black Basta et l’opération de cybercriminalité Fin7, un gang de cybercriminalité à motivation financière également connu sous le nom de Carbanak.

Depuis son lancement, les acteurs malveillants ont été responsables d’un flot d’attaques, notamment Capita, Sobeys, Knauf et Pages Jaunes Canada.

Récemment, l’opération de ransomware a attaqué ABB, une multinationale technologique suisse et sous-traitant du gouvernement américain, et a divulgué les données volées de l’entreprise.