Dans une rare démonstration de transparence, la société américaine de services énergétiques BHI Energy détaille comment l’opération du ransomware Akira a violé ses réseaux et volé les données lors de l’attaque.

BHI Energy, qui fait partie de Westinghouse Electric Company, est un fournisseur de services d’ingénierie spécialisés et de solutions de recrutement qui soutient les unités de production d’énergie privées et gouvernementales pétrolières, gazières, nucléaires, éoliennes, solaires et fossiles, ainsi que les installations de transport et de distribution d’électricité.

Dans une notification de violation de données envoyée par BHI Energy aux personnes concernées, la société fournit des informations détaillées sur la façon dont le gang du ransomware Akira a violé son réseau le 30 mai 2023.

L’attaque a d’abord été lancée par l’acteur malveillant Akira qui a utilisé les informations d’identification VPN volées pour permettre à un sous-traitant tiers d’accéder au réseau interne de BGI Energy.

« En utilisant le compte de cet entrepreneur tiers, le TA (acteur menaçant) a atteint le réseau interne de BHI via une connexion VPN », lit-on dans le communiqué. notification de violation de données.

« Dans la semaine suivant l’accès initial, le TA a utilisé le même compte compromis pour effectuer une reconnaissance du réseau interne. »

Les opérateurs d’Akira ont revisité le réseau le 16 juin 2023 pour énumérer les données qui seraient volées. Entre le 20 et le 29 juin, les auteurs de la menace ont volé 767 000 fichiers contenant 690 Go de données, dont la base de données Windows Active Directory de BHI.

Finalement, le 29 juin 2023, après avoir volé toutes les données possibles du réseau de BHI, les acteurs malveillants ont déployé le ransomware Akira sur tous les appareils pour crypter les fichiers. C’est à ce moment-là que l’équipe informatique de BHI a réalisé que l’entreprise avait été compromise.

La société affirme avoir immédiatement informé les forces de l’ordre et engagé des experts externes pour les aider à récupérer les systèmes concernés. L’influence de l’acteur menaçant sur le réseau de BHI a été supprimée le 7 juillet 2023.

La société affirme avoir été en mesure de récupérer les données d’une solution de sauvegarde dans le cloud qui n’avait pas été affectée par l’attaque du ransomware, ce qui lui a permis de restaurer ses systèmes sans payer de rançon.

De plus, BHI a renforcé ses mesures de sécurité en imposant une authentification multifacteur sur l’accès VPN, en effectuant une réinitialisation globale du mot de passe, en étendant le déploiement des outils EDR et AV pour couvrir toutes les sections de son environnement et en mettant hors service les systèmes existants.

Données exposées lors de l’attaque

Même si BHI a réussi à récupérer ses systèmes, les acteurs malveillants ont pu voler des données contenant des informations personnelles sur les employés.

Une enquête terminée le 1er septembre 2023, indique que les données suivantes ont été volées :

• Nom et prénom
• Date de naissance
• Numéro de sécurité sociale (SSN)
• Information sur la santé

Au moment d’écrire ces lignes, le ransomware Akira n’a divulgué aucune donnée appartenant à BHI sur son portail d’extorsion sur le dark web, et les cybercriminels n’ont pas non plus annoncé BHI dans leurs prochaines fuites de données.

Les avis de violation de données contiennent des instructions sur l’inscription à un service de protection contre le vol d’identité de deux ans via Experian.