Une société américaine de gestion de voyages a payé une rançon de 4,5 millions de dollars à des pirates informatiques,
Après des négociations dans un chat laissé en ligne

Une autre société américaine a été frappée en fin du mois dernier par une attaque au ransomware, après une précédente attaque contre la multinationale spécialisée dans le GPS et les systèmes de suivi de la condition physique Garmin. L’attaque contre la société américaine de gestion de voyages CWT a utilisé une souche de logiciel de rançon appelée Ragnar Locker, qui chiffre les fichiers informatiques et les rend inutilisables jusqu'à ce que la victime paie pour que l'accès soit restauré. CWT a payé 4,5 millions de dollars la semaine dernière aux attaquants qui ont volé une quantité importante de fichiers d'entreprise sensibles et ont déclaré avoir mis 30 000 ordinateurs hors ligne, selon un compte-rendu des négociations publié sur Twitter.

CWT, qui a affiché des revenus de 1,5 milliard de dollars l'année dernière et qui affirme représenter plus d'un tiers des entreprises de l'indice boursier américain S&P 500, a confirmé l'attaque, mais a refusé de commenter les détails de ce qu'elle a déclaré être une enquête en cours, d’après Reuters.

Nom : 001.jpg
Affichages : 2572
Taille : 39,6 Ko

« Nous pouvons confirmer qu'après avoir temporairement arrêté nos systèmes par mesure de précaution, nos systèmes sont de nouveau en ligne et l'incident a maintenant cessé », a déclaré la société dans un communiqué. « Bien que l'enquête n'en soit qu'à ses débuts, nous n'avons aucune indication que les informations personnelles identifiables/les informations sur les clients et les voyageurs aient été compromises », a-t-elle ajouté.

Les négociations qui ont eu lieu, après l’intrusion, entre les pirates informatiques et un représentant de CWT sont restées accessibles au public dans un groupe de discussion en ligne, ce qui a permis a Jack Stubbs d'avoir un aperçu rare des échanges entre les cybercriminels et la société victime. « Une chose intéressante s'est produite sur Internet cette semaine. Une société américaine de gestion de voyages a été frappée par le logiciel de rançon Ragnar Locker. L'entreprise a accepté de payer et a remis 4,5 millions de dollars en bitcoin », a tweeté Stubbs.

« Mais le salon de discussion en ligne où les négociations de rançon ont eu lieu a été laissé en ligne, donnant un aperçu rare et *incroyablement* intéressant de la façon dont ces choses se passent réellement », a-t-il ajouté dans un autre tweet.

Une personne connaissant bien l'enquête de CWT a déclaré a Reuters que l'entreprise pensait que le nombre d'ordinateurs infectés était considérablement inférieur aux 30 000 que les pirates informatiques ont déclaré avoir infectés sur le réseau informatique de CWT.

10 millions de dollars exigés par les attaquants, 4,5 millions payés en bitcoin après négociations

Les pirates informatiques ont d'abord exigé un paiement de 10 millions de dollars pour restaurer les fichiers de CWT et supprimer toutes les données volées, selon le fil de discussion publié sur Twiter. Il s'en est suivi beaucoup de marchandages et de discussions sur les rabais. « C'est probablement beaucoup moins cher que les frais de justice (sic), la perte de réputation causée par la fuite », ont écrit les attaquants le 27 juillet.

Nom : 003.jpg
Affichages : 2194
Taille : 42,9 Ko

Le représentant de CWT dans les négociations avec les pirates informatiques, qui a déclaré agir au nom du directeur financier de la société, a déclaré que la société avait été durement touchée par la pandémie du covid-19 et a accepté de payer 4,5 millions de dollars en bitcoins. « Bon, faisons avancer les choses. Quelles sont les prochaines étapes », a déclaré le représentant après un accord trouvé sur le montant final de la rançon à verser.

Du début à la fin de la discussion, il s'agissait d'une transaction commerciale pour les deux parties. Stubbs dit avoir été surpris par le professionnalisme et la collégialité de toute la conversation. « J'apprécie le rabais et les mots gentils, mais pour être honnête, nous espérions avoir quelque chose pour lequel nous avons réellement de l'argent disponible. Je comprends tout à fait que c'est une affaire pour vous, mais pour l'instant, je suis chargé d'essayer de maintenir notre entreprise à flot. En toute honnêteté, 8 millions de dollars nous placent dans une situation où nous devrions doubler nos revenus actuels pour garder nos portes ouvertes. Nous étions prêts à vous donner 3,7 millions de dollars aujourd'hui si nous avions trouvé un terrain d'entente. Je ne veux pas dénigrer le travail de votre équipe, j'essaie simplement d'éviter de nouveaux licenciements de notre côté », a écrit le représentant de CWT à un moment donné.

Nom : 004.jpg
Affichages : 2924
Taille : 76,9 Ko

Selon Reuters, un registre public des paiements sur le blockchain montre qu'un portefeuille en ligne contrôlé par les pirates informatiques a reçu le paiement demandé de 414 bitcoins le 28 juillet. CWT a négocié et payé une rançon aux pirates informatiques qui ont chiffré ses fichiers et téléchargé quantité de ses données alors même qu’il pourrait être exposé à des poursuites judiciaires de la part du Trésor américain. En effet, il « est généralement interdit aux personnes américaines de s'engager dans des transactions » avec les cybercriminels.

Dans une capture d’écran d’une demande de rançon laissée sur les ordinateurs infectés de CWT, les pirates ont affirmé avoir volé deux téraoctets de fichiers, y compris des rapports financiers, des documents de sécurité et des données personnelles d'employés telles que des adresses électroniques et des informations sur les salaires. Mais Reuters pense également, comme CWT, qu’il n'est pas clair si les données appartenant à l'un des clients de CWT ont été compromises.

Nom : 005.jpg
Affichages : 2161
Taille : 113,3 Ko

Les responsables occidentaux de la sécurité affirment que les attaques par ransomware constituent une menace sérieuse et constante pour les entreprises et les sociétés privées, malgré l'attention accrue généralement accordée aux frasques des pirates informatiques soutenus par l'État, a rapporté Reuters. C’est la seconde fois qu’une attaque par ransomware contre les entreprises américaines finit par un paiement de rançon au cours du seul mois de juillet.

Un peu plus tôt en juillet, un ransomware connu sous le nom de WastedLocker a chiffré les fichiers sur le réseau d'entreprise de Garmin, ce qui a eu pour effet de paralyser une grande partie des activités de l'entreprise. Les propriétaires des produits de l’entreprise n'ont pas pu utiliser ses services pendant trois jours.

Selon des médias qui ont couvert le piratage, il avait également été demandé à la société de payer 10 millions de dollars aux cybercriminels pour qu’ils puissent remettre ses systèmes en ligne. Selon Sky News, qui a cité des sources ayant eu connaissance de l’attaque et qui ont parlé sous le couvert de l'anonymat, Garmin n'avait pas directement effectué de paiement aux pirates informatiques. Quatre jours après la mise hors service de ses systèmes, Garmin a déclaré avoir obtenu une clé de déchiffrement de ses fichiers.

Cette nouvelle attaque montre que « nous sommes dans un âge d'or des paiements de rançon », d’après un commentateur. Selon Reuters, on estime que ces attaques coûtent des milliards de dollars chaque année, soit en paiements de rançon, soit en frais de recouvrement des fichiers chiffrés. Selon les experts en cybersécurité, la meilleure défense consiste à conserver des sauvegardes de données sécurisées, et le fait de payer des rançons encourage de nouvelles attaques criminelles sans aucune garantie que les fichiers chiffrés seront restaurés. Espérons que les deux téraoctets de fichiers que les cybercriminels ont dit avoir téléchargés seront supprimés de leurs serveurs après le paiement.

Source : Tweets

Et vous ?

Que pensez-vous de cette nouvelle attaque par ransomware ?
Quel commentaire faites-vous de la négociation entre les pirates informatiques et CWT ?
Pensez-vous que les cybercriminels suppriment toutes les données téléchargées de leurs serveurs après le paiement de la rançon ?

Voir aussi :

Garmin, fabricant de montres intelligentes, obtient une clé de déchiffrement après une attaque au ransomware, « Les systèmes touchés sont en cours de restauration »
Un ransomware oblige 3 hôpitaux à refuser tous les patients sauf ceux qui sont dans un état plus critique, ces hôpitaux ont vu la capacité d'utiliser leurs systèmes informatiques limitée par l'attaque
Les attaques de ransomware contre les entreprises ont augmenté de plus de 500% au premier trimestre, d'après un rapport de Malwarebytes
93 % des professionnels de la sécurité ne disposent pas des outils nécessaires pour détecter les menaces à la sécurité, d'après un rapport de LogRhythm