JVCKenwood frappé par l’attaque du ransomware Conti

Le fournisseur d’électronique japonais JVCKenwood est devenu la dernière victime connue d’une nouvelle vague d’attaques de ransomware Conti qui se propagent dans le monde entier.

Les détails de l’attaque obtenus par le titre frère de Computer Weekly, LeMagIT, révèlent que Conti a exfiltré environ 1,7 To de données de JVCKenwood, y compris des informations personnellement identifiables (PII) sur ses employés, dont certaines ont été fournies à la société comme preuve de l’attaque.

Le gang Conti réclame une rançon de 7 millions de dollars (5,2 millions de livres sterling / 6 millions d’euros) et affirme avoir volé des données sur les clients et les fournisseurs de JVCKenwood, ainsi que des informations relatives à ses fonctions juridiques, financières, RH, informatiques, d’audit et de conformité. Cela comprend les documents personnels, les numéros de téléphone, les coordonnées et les relevés de paie et bancaires.

Cependant, au moment d’écrire ces lignes, les discussions entre un représentant de JVCKenwood et le négociateur de Conti semblaient s’être arrêtées, ce qui pourrait suggérer que l’entreprise refusera de payer une rançon.

Comme cela a été couramment observé dans ses autres attaques Conti, l’équipage continue d’agir comme s’il fournissait un service légitime de tests d’intrusion et d’audit de sécurité. Dans les captures d’écran des négociations vues par Computer Weekly, il a déclaré: « Heureusement, Conti est là pour empêcher d’autres dommages. »

L’équipage offre ensuite des services de prévention et d’atténuation des dommages, et avertit la victime que si elle divulgue ses informations, ses données seront utilisées à mauvais escient par des cybercriminels du dark web à leurs propres « fins maléfiques ».

La note de rançon poursuit en avertissant que l’attaque entraînera des conséquences juridiques, réglementaires et de réputation.

Il ajoute: « Il n’y a aucun moyen que nous ne remplissions pas nos promesses après votre paiement. Les chances que l’enfer gèle sont plus élevées que nous induisons nos clients en erreur. »

Dans un communiqué officiel, JVCKenwood a déclaré avoir détecté un accès non autorisé à des serveurs situés en Europe le 22 septembre 2021.

« Il a été constaté qu’il y avait une possibilité de fuite d’informations par le tiers qui a fait l’accès non autorisé », a déclaré un porte-parole de la société.

« Actuellement, une enquête détaillée est menée par l’agence spécialisée extérieure à l’entreprise en collaboration avec les autorités compétentes. Aucune fuite de données client n’a été confirmée pour le moment.

« JVCKenwood prend cet incident très au sérieux et regrette sincèrement les inconvénients qu’il peut causer. »

Décrit par l’équipe de l’unité 42 de Palo Alto Networks comme l’un des gangs de ransomware les plus impitoyables existants, Conti existe depuis plus d’un an et a gagné des sommes substantielles en extorquant des victimes telles que des hôpitaux, pour qui les perturbations informatiques pourraient mettre leur vie en danger. En mai, le gang a attaqué le health service executive irlandais dans une attaque de 19,9 millions de dollars qui continue d’affecter les services près de six mois plus tard.

Contrairement aux sentiments du gang à ce sujet, l’unité 42 décrit également Conti comme peu fiable. « Nous avons vu le groupe de victimes sévères qui paient des rançons, s’attendant à pouvoir récupérer leurs données », a écrit Richard Hickman, consultant principal en réponse aux incidents au sein de la société.

Une récente fuite d’informations sur l’opération Conti, censée être par une filiale mécontente, a révélé un aperçu supplémentaire de la façon dont le groupe s’y pris pour reconnaître et compromettre ses victimes, y compris des informations sur des vulnérabilités souvent non corrigées qu’il a particulièrement réussi à exploiter, telles que PrintNightmare, ZeroLogon et EternalBlue. De plus amples informations sur Conti sont disponibles auprès de la Cyber Security and Infrastructure Security Agency des États-Unis.