Les opérations européennes du géant japonais de la technologie optique Olympus restent hors ligne aujourd’hui, à la suite d’une apparente attaque de ransomware, vraisemblablement l’œuvre du syndicat BlackMatter.
Bien qu’au moment de la rédaction de cet article, Olympus n’ait révélé qu’il enquêtait sur un incident de cybersécurité, des sources ayant une connaissance privilégiée de l’incident, qui s’est produit le mercredi 8 septembre, ont déclaré > qu’une note de rançon laissée sur des PC infectés indiquait une attaque de BlackMatter – la véracité de la note a été confirmée par des experts en ransomware.
Dans une brève déclaration, la société a déclaré : « Dès la détection d’une activité suspecte, nous avons immédiatement mobilisé une équipe d’intervention spécialisée comprenant des experts en médecine légale, et nous travaillons actuellement avec la plus haute priorité pour résoudre ce problème. Dans le cadre de l’enquête, nous avons suspendu les transferts de données dans les systèmes concernés et avons informé les partenaires externes concernés.
«Nous travaillons actuellement pour déterminer l’étendue du problème et continuerons à fournir des mises à jour à mesure que de nouvelles informations seront disponibles. Veuillez accepter nos excuses pour la gêne occasionnée.”
Le groupe BlackMatter est apparu pour la première fois au cours de l’été 2021 et a été immédiatement lié par des analystes et des chercheurs à la défunte équipe DarkSide derrière l’attaque du Colonial Pipeline en mai.
Le groupe a ensuite affirmé qu’il avait travaillé avec DarkSide dans le passé, mais qu’ils ne sont pas une seule et même personne. Les recherches des analystes de Sophos suggèrent qu’il est également influencé par REvil – dont le sort et le statut restent quelque peu incertains.
Comme de nombreux autres gangs de ransomware, il exploite une opération de ransomware-as-a-service (RaaS) et recherche ouvertement des courtiers d’accès initial (IAB) qui peuvent l’aider à pénétrer les réseaux d’entreprise – jusqu’à présent, il a ciblé des entreprises avec des ventes annuelles de plus de 100 millions de dollars.
Il est également explicite de ne pas attaquer des organisations telles que des hôpitaux ou des opérateurs d’infrastructures nationales critiques (CNI), bien que, comme toute affirmation faite par un gang de ransomware, cela doive être pris avec une grosse pincée de sel.
CybSafe Le PDG et fondateur Oz Alashe a commenté : « La popularité croissante du ransomware-as-a-service signifie qu’il n’a jamais été aussi facile pour les criminels de mener une cyberattaque, même contre les géants de la technologie.
« La pratique ouvre des possibilités à ceux qui souhaitent commettre des attaques de ransomware mais qui n’avaient auparavant pas les capacités techniques ou le savoir-faire pour l’exécuter. Cette mise aux enchères des services de groupes tels que BlackMatter augmente la portée de la menace, ainsi que le nombre de cibles potentielles. »
Anthony Gilbert, responsable du renseignement sur les cybermenaces chez Bridewell Consulting, un fournisseur de services de sécurité, a ajouté : « Olympus continuera à travailler sur son processus de réponse aux incidents et d’investigation numérique pour comprendre ce qui a été compromis et comment. Mais le fait que l’entreprise ait dû fermer ses réseaux informatiques est préoccupant, car chaque minute où l’entreprise ne fonctionne pas aura un impact à la fois sur ses revenus et sa réputation.
“Il n’est pas clair à ce stade si l’entreprise a payé ou va payer la rançon, et cela dépendra en grande partie du processus de réponse de l’entreprise et des intérêts de l’organisation et de ses clients”, a-t-il déclaré.
“Le problème est que le paiement de la rançon ne garantit pas que les fichiers seront déchiffrés avec succès, ni n’empêche un deuxième incident similaire ou un chantage au doxxing auquel l’organisation peut rester vulnérable.”
