La société de transformation de viande JBS a confirmé mercredi avoir payé aux extorqueurs 11 millions de dollars en bitcoins pour retrouver l’accès à ses systèmes à la suite d’une attaque destructrice de ransomware à la fin du mois dernier.

« En consultation avec des professionnels de l’informatique internes et des experts tiers en cybersécurité, l’entreprise a pris la décision d’atténuer tout problème imprévu lié à l’attaque et de s’assurer qu’aucune donnée n’a été exfiltrée », JBS USA mentionné dans un communiqué, le PDG Andre Nogueira a ajouté que la société avait pris la “décision très difficile” d’éviter tout risque potentiel pour ses clients.

Déclarant que des enquêtes médico-légales tierces sur l’incident sont toujours en cours, la société a noté qu’aucune donnée d’entreprise, de client ou d’employé n’a été compromise à la suite de la violation. Le FBI décourage officiellement les victimes de payer des rançons, car cela peut créer un marché criminel rentable.

JBS, la plus grande entreprise de viande au monde en termes de ventes, le 30 mai divulgué il a été la proie d’une “attaque de cybersécurité organisée” ciblant son réseau informatique, mettant temporairement hors d’état ses opérations en Australie, au Canada et aux États-Unis. L’intrusion a été attribué à REvil (alias Sodinokibi), un groupe de cybercriminalité prolifique lié à la Russie qui est devenu l’un des cartels de ransomware les plus rentables en termes de revenus.

Équipes de débordement de pile

Gérée comme une entreprise de ransomware en tant que service, REvil a également été l’un des premiers à adopter le soi-disant “double extorsion” modèle qui a depuis été imité par d’autres groupes pour exercer une pression supplémentaire sur l’entreprise victime pour qu’elle réponde aux demandes de rançon dans les délais impartis et maximise ses chances de réaliser un profit.

La technique consiste à voler des données sensibles avant de les chiffrer, ouvrant ainsi la porte à de nouvelles menaces dans lesquelles le refus de s’engager peut entraîner la publication des données volées sur son site Web sur le dark web.

REvil et ses filiales représentaient environ 4,6% des attaques sur les secteurs public et privé au premier trimestre 2021, selon les statistiques publiées par Emsisoft le mois dernier, ce qui en fait la cinquième souche de ransomware la plus signalée après STOP (51,4%), Phobos (6,6%), Dharma (5,1%), et Makop (4,7 %).

Les syndicats sont connus pour blanchir leurs produits financiers par le biais de Mélange de bitcoins services afin d’obscurcir la piste, qui est ensuite envoyée aux portails d’échange de crypto-monnaie légitimes et à haut risque pour convertir les bitcoins en monnaie fiduciaire du monde réel.

L’attaque contre JBS intervient au milieu d’une récente vague d’incursions de ransomwares dans laquelle les entreprises sont confrontées à des demandes de paiements de plusieurs millions de dollars en échange d’une clé pour déverrouiller les systèmes. Le mois dernier, Colonial Pipeline a déboursé une rançon d’environ 75 bitcoins (4,4 millions de dollars au 8 mai) pour rétablir les services, bien que le gouvernement américain ait réussi plus tôt cette semaine à récupérer la majeure partie de l’argent en suivant les pistes de bitcoin.

Empêcher les attaques de ransomware

« Être extorqué par des criminels n’est pas une position dans laquelle aucune entreprise ne souhaite se trouver », a déclaré le PDG de Colonial Pipeline, Joseph Blount, lors d’une audition devant le comité du Sénat américain le 8 juin. payer la rançon pour avoir tous les outils à notre disposition pour remettre rapidement le pipeline en marche. Ce fut l’une des décisions les plus difficiles que j’ai eu à prendre dans ma vie. »

Dans le même ordre d’idées, la compagnie d’assurance américaine CNA aurait payé 40 millions de dollars aux attaquants pour récupérer l’accès à ses systèmes dans le cadre de ce qui serait l’une des rançons les plus chères réglées à ce jour. Dans une déclaration partagée le 12 mai, la société a déclaré qu’elle n’avait “aucune preuve indiquant que les clients externes étaient potentiellement à risque d’infection en raison de l’incident”.

Les attaques incessantes contre les infrastructures critiques et leur impact sur les chaînes d’approvisionnement ont incité l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) à publier une fiche d’information détaillant la menace croissante des ransomwares pour les actifs technologiques opérationnels et les systèmes de contrôle et aider les organisations à renforcer leur résilience.



Leave a Reply