Quelques jours après que le FBI a averti qu’un groupe de rançongiciels appelé BlackByte avait compromis une infrastructure critique aux États-Unis, le groupe a piraté des serveurs appartenant à l’équipe de football des 49ers de San Francisco et a détenu certaines des données de l’équipe contre rançon.
Les représentants des médias de la franchise NFL ont confirmé une faille de sécurité dans une déclaration envoyée par e-mail à la suite d’un message sur le site Web sombre de BlackByte, sur lequel le groupe de pirates tente de faire honte et d’effrayer les victimes pour qu’elles effectuent de gros paiements en échange d’une promesse de ne pas divulguer les données et de fournir une clé de déchiffrement permettant de récupérer les données. Le récent message a mis à disposition pour téléchargement un fichier de 379 Mo nommé «2020 Invoices» qui semblait montrer des centaines de relevés de facturation que les 49ers avaient envoyés à des partenaires, notamment AT&T, Pepsi et la ville de Santa Clara, où les 49ers jouent à des jeux à domicile.
Trois mois bien remplis
Dans une déclaration envoyée par courrier électronique, les représentants de la franchise ont déclaré que les enquêteurs évaluaient toujours la violation.
“Pendant que l’enquête est en cours, nous pensons que l’incident est limité à notre réseau informatique d’entreprise”, indique le communiqué. “À ce jour, nous n’avons aucune indication que cet incident implique des systèmes extérieurs à notre réseau d’entreprise, tels que ceux connectés aux opérations du Levi’s Stadium ou aux détenteurs de billets.”
L’équipe a déclaré avoir informé les forces de l’ordre et travailler avec des sociétés de cybersécurité tierces pour mener l’enquête. “[W]Nous travaillons avec diligence pour restaurer les systèmes concernés aussi rapidement et en toute sécurité que possible », indique le communiqué.
Publicité
Vendredi, le FBI et les services secrets ont publié une déclaration conjointe avertissant que BlackByte, un groupe repéré pour la première fois l’année dernière, s’est livré à une frénésie de piratage au cours des trois derniers mois et qu’il a réussi à percer un éventail de réseaux sensibles.
“En novembre 2021, le rançongiciel BlackByte avait compromis plusieurs entreprises américaines et étrangères, y compris des entités dans au moins trois secteurs d’infrastructures critiques aux États-Unis (installations gouvernementales, financières, alimentaires et agricoles)”, indique l’avis. “BlackByte est un groupe Ransomware as a Service (RaaS) qui crypte les fichiers sur les systèmes hôtes Windows compromis, y compris les serveurs physiques et virtuels.”
Obus, insectes et bombes imprimées
BlackByte est apparu pour la première fois en juillet dernier, lorsque les gens en ont discuté dans un forum Bleeping Computer. Une première version du ransomware de BlackByte contenait une faille qui exposait les clés de chiffrement utilisées pour verrouiller les données des victimes. Le bogue a permis à la société de sécurité Trustwave de publier un outil de décryptage qui récupère les données gratuitement. Une version mise à jour a corrigé le bogue.
Une analyse publiée par la société de sécurité Red Canary a déclaré que le groupe de piratage a pu pirater certaines de ses victimes en exploitant ProxyShell, le nom d’une série de vulnérabilités dans Microsoft Exchange Server. Les vulnérabilités permettent aux pirates d’obtenir l’exécution de code à distance de pré-authentification. À partir de là, les acteurs malveillants pourraient installer un shell qui dirige les commandes vers le serveur compromis. Une multitude d’adversaires, dont des pirates iraniens soutenus par des États-nations, ont exploité les vulnérabilités. Microsoft les a corrigés en mars dernier.
Une autre caractéristique de BlackByte, a déclaré Red Canary, était son utilisation du « bombardement d’impression ». Cette fonctionnalité a amené toutes les imprimantes connectées à un réseau infecté à imprimer des notes de rançon au début de chaque heure qui disaient: “Votre [sic] HACKÉ par l’équipe BlackByte. Connectez-nous pour restaurer votre système.
L’avis conjoint émis par le FBI et les services secrets n’a identifié aucune des organisations qui ont été violées par BlackByte. L’avis a également fourni une liste d’indicateurs que les administrateurs et le personnel de sécurité peuvent utiliser pour déterminer si les réseaux ont été compromis par le groupe. Il n’est pas inhabituel pour les pirates de rançongiciels de rester dans des réseaux compromis pendant des semaines alors qu’ils s’efforcent de se faufiler. Les administrateurs doivent utiliser la liste des indicateurs dès que possible pour déterminer si leurs réseaux ont été piratés.
