Olympus probablement victime du ransomware BlackMatter

Les opérations européennes du géant japonais de la technologie optique Olympus restent hors ligne aujourd’hui, à la suite d’une attaque de ransomware apparente, considérée comme probablement l’œuvre du syndicat BlackMatter.

Bien qu’au moment de la rédaction de cet article, Olympus ait seulement révélé qu’elle enquêtait sur un incident de cybersécurité, des sources ayant une connaissance interne de l’incident, qui s’est produit le mercredi 8 septembre, ont déclaré TechCrunch qu’une note de rançon laissée sur des PC infectés indiquait une attaque de BlackMatter – la véracité de la note a été confirmée par des experts en ransomware.

Dans un bref communiqué, la société a déclaré: « Dès la détection d’une activité suspecte, nous avons immédiatement mobilisé une équipe d’intervention spécialisée comprenant des experts en criminalistique, et nous travaillons actuellement avec la plus haute priorité pour résoudre ce problème. Dans le cadre de l’enquête, nous avons suspendu les transferts de données dans les systèmes concernés et en avons informé les partenaires externes concernés.

« Nous travaillons actuellement à déterminer l’ampleur du problème et nous continuerons à fournir des mises à jour à mesure que de nouvelles informations seront disponibles. Nous nous excusons pour tout inconvénient que cela a causé. »

Le groupe BlackMatter a émergé pour la première fois au cours de l’été 2021 et a été immédiatement lié par des analystes et des chercheurs à l’équipe De DarkSide, aujourd’hui disparue, derrière l’attaque du pipeline colonial en mai.

Le groupe a par la suite affirmé qu’il avait travaillé avec DarkSide dans le passé, mais qu’ils ne sont pas une seule et même chose. Les recherches des analystes de Sophos suggèrent qu’il est également influencé par REvil – dont le sort et le statut restent quelque peu incertains.

Comme beaucoup d’autres gangs de ransomware, il exploite une opération de ransomware en tant que service (RaaS) et recherche ouvertement des courtiers d’accès initial (IAP) qui peuvent l’aider à pénétrer les réseaux d’entreprise – jusqu’à présent, il a ciblé les entreprises avec des ventes annuelles de plus de 100 millions de dollars.

Il est également explicite de ne pas attaquer des organisations telles que les hôpitaux ou les opérateurs d’infrastructures nationales critiques (CNI), bien que, comme toutes les affirmations faites par un gang de ransomware, cela devrait être pris avec une grosse pincée de sel.

CybSafe Le PDG et fondateur Oz Alashe a commenté: « La popularité croissante des ransomwares en tant que service signifie qu’il n’a jamais été aussi facile pour les criminels de mener une cyberattaque, même contre les géants de la technologie.

« La pratique ouvre des possibilités pour ceux qui veulent commettre des attaques de ransomware mais qui n’avaient auparavant pas les capacités techniques ou le savoir-faire pour les exécuter. Cette mise aux enchères de services de groupes tels que BlackMatter augmente l’étendue de la menace, ainsi que le nombre de cibles potentielles.

Anthony Gilbert, responsable du renseignement sur les cybermenaces chez Bridewell Consulting, un fournisseur de services de sécurité, a ajouté : « Olympus continuera de travailler sur son processus de réponse aux incidents et de criminalistique numérique pour comprendre ce qui a été compromis et comment. Mais le fait que l’entreprise ait dû fermer des réseaux informatiques est préoccupant car chaque minute que l’entreprise ne fonctionne pas aura un impact à la fois sur les revenus et la réputation.

« Il n’est pas clair à ce stade si l’entreprise a ou va payer la rançon, et cela dépendra en grande partie du processus de réponse de l’entreprise et des intérêts de l’organisation et de ses clients », a-t-il déclaré.

« Le problème est que le paiement de la rançon ne garantit pas que les fichiers seront décryptés avec succès, ni n’empêche un deuxième incident similaire ou un chantage doxxing auquel l’organisation peut rester vulnérable. »