Ransomware : le fournisseur de services Cloud Blackbaud passe à la caisse

Ransomware : le fournisseur de services Cloud Blackbaud passe à la caisse

Le fournisseur de services de logiciels et de solutions d’hébergement dans le Cloud Blackbaud a déclaré avoir mis fin à une attaque au ransomware en fin d’année dernière. La plateforme a toutefois du s’acquitter d’une rançon après que des pirates aient volé des données sur le réseau de la société et menacé de les publier en ligne. L’incident a eu lieu en mai 2020, a révélé l’entreprise dans un communiqué de presse publié ce jeudi.

Blackbaud a déclaré que des pirates informatiques avaient pénétré dans son réseau et tenté d’installer un logiciel de rançon afin de bloquer les clients de l’entreprise hors de leurs données et de leurs serveurs.

“Après avoir découvert l’attaque, notre équipe de cybersécurité – en collaboration avec des experts médico-légaux indépendants et les forces de l’ordre – a réussi à empêcher le cybercriminel de bloquer l’accès à notre système et de crypter entièrement les fichiers et finalement à les expulser de notre système”, a fait savoir l’état-major de Blackbaud. 

publicité

Une attaque réussie

Reste que les pirates ont toutefois réussi à voler un sous-ensemble de données de son “environnement auto-hébergé”, où les clients sauvegardent leurs fichiers. Le gang des ransomwares, que ZDNet n’a pas pu identifier avant la publication de cet article, a ensuite menacé de divulguer les données volées à moins que Blackbaud ne paie une demande de rançon – même si leur attaque initiale de cryptage de fichiers était arrêtée.

“Parce que la protection des données de nos clients est notre priorité absolue, nous avons payé la demande du cybercriminel avec la confirmation que la copie qu’ils ont retirée avait été détruite”, a déclaré la direction de Blackbaud. “Compte tenu de la nature de l’incident, de nos recherches et de l’enquête menée par des tiers (y compris les services répressifs), nous n’avons aucune raison de croire que des données ont été ou seront utilisées à mauvais escient, ou seront diffusées ou mises à la disposition du public de quelque manière que ce soit”, ajoute-t-on du côté de la société.

Le fournisseur de services en ligne, qui travaille principalement avec des organisations à but non lucratif, des fondations, des établissements d’enseignement et de santé, a déclaré que l’incident n’avait eu un impact sur les données que d’un petit sous-ensemble de ses clients, qu’ils ont maintenant notifiés.

Double ration

L’incident rencontré par Blackbaud est un exemple typique des attaques actuelles par double extorsion de rançon. Les gangs de rançon concentrent désormais leurs attaques sur les grands réseaux d’entreprise, où ils prennent pied dans un premier temps, et volent les données de la victime avant de crypter les fichiers locaux. Les victimes sont ensuite invitées à payer une demande de rançon, soit pour déverrouiller les fichiers, soit pour empêcher la publication en ligne des données volées (au cas où la victime refuserait de payer les frais de décryptage et choisirait de restaurer à partir de sauvegardes ou de reconstruire les systèmes à partir de zéro).

De telles attaques sont la norme depuis la fin de l’année 2019 environ, lorsqu’un grand nombre de gangs de rançon ont commencé à exploiter des “sites de fuite” où ils publiaient les données des victimes qui refusaient de payer. Les gangs de rançon qui ne se donnaient pas la peine de créer des “sites de fuite” se contentaient de déverser les données volées sur des portails de partage de fichiers et de partager les liens sur des forums, des réseaux de médias sociaux ou avec des agences de presse.

Dans la grande majorité des cas, les groupes de rançon ont généralement demandé une des deux rançons (pour décrypter les fichiers ou pour ne pas publier les données), mais un gang, en particulier, est connu pour poursuivre les deux en même temps – à savoir le gang de rançon Ako.
Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *