ALPHV, un gang de pirates russes également connu sous le pseudonyme de BlackCat, revendique une attaque orchestrée contre Ring, la filiale d’Amazon spécialisée dans les sonnettes connectées. Sur leur site du dark web, les cybercriminels menacent de divulguer les données obtenues lors du piratage.
Depuis son apparition à l’automne 2021, le gang dégage des bénéfices en extorquant de l’argent à des entreprises à l’aide d’un ransomware en tant que service (RaaS). Ils s’appuient sur une tactique intitulée « la double extorsion ». Celle-ci consiste d’abord à voler des données sensibles avant de les chiffrer. Les attaquants menacent ensuite la victime de les rendre publiques. Parfois, ils menacent aussi de déployer des attaques déni de service (DDoS), transformant une « double extorsion » en « triple extorsion ».
En communiquant sur leur site web, les pirates cherchent à faire pression sur l’entreprise pour obtenir une rançon. Comme d’autres gangs, BlackCat s’est graduellement mis à accentuer la pression exercée sur ses victimes pour les convaincre de leur verser de l’argent. Les hackers n’hésitent plus à publier des informations sensibles sur la toile pour parvenir à leurs fins. Récemment, BlackCat a d’ailleurs diffusé des radiographies de patientes atteintes d’un cancer du sein sur le dark web. Le gang avait déjà procédé de la sorte lors du piratage du Centre Hospitalier de Corbeil-Essonnes, rapporte Zataz.
À lire aussi : Après l’attaque d’un hôpital pédiatrique, les pirates de Lockbit s’excusent et offrent la clé de déchiffrement
Comment BlackCat a volé des données à Amazon Ring
Dans un communiqué adressé à Vice, Ring précise que ses systèmes n’ont pas été violés par les hackers. La filiale d’Amazon n’a pas été victime d’une attaque par ransomware. Par contre, un fournisseur tiers a bien été paralysé par un rançonlogiciel. C’est par le biais de ce fournisseur, dont la sécurité était moindre que celle d’Amazon, que BlackCat a volé des fichiers confidentiels.
Comme toujours, les pirates se sont concentrés sur le maillon le plus faible de la chaîne d’approvisionnement. Après avoir piraté cet acteur plus vulnérable, les attaquants peuvent remonter jusqu’à leurs cibles initiales, mieux protégées. C’est une stratégie classique des cybercriminels. Elle permet de ne pas s’attaquer frontalement à de solides systèmes de défense.
Plusieurs groupes de cybercriminels procèdent de cette manière pour prendre d’assaut de grandes entreprises. C’est le cas des hackers derrière l’attaque de SolarWinds fin 2020. Afin de pénétrer dans les systèmes de sociétés comme Microsoft ou Intel, les pirates ont glissé un malware baptisé Sunburst dans une mise à jour du logiciel Orion, développé par SolarWinds. Ce logiciel de surveillance et de gestion réseau était utilisé par 18 000 des clients de SolarWinds. C’était la porte d’entrée idéale.
Le mystère des données subtilisées
À ce stade, on ignore quelles sont les données de Ring obtenues par les pirates. L’entreprise explique travailler main dans la main avec son fournisseur, dont l’identité est restée inconnue, pour en savoir davantage sur l’attaque. Afin de rassurer sa clientèle, la filiale d’Amazon précise que le fournisseur piraté par BlackCat n’avait pas accès aux dossiers de ses utilisateurs. Pour le moment, la firme n’a pas précisé si elle envisageait de céder au chantage des pirates.
Quoi qu’il en soit, Ring s’ajoute à la longue liste des victimes de BlackCat. Entre octobre et décembre 2022, le gang s’est en effet montré très actif en piratant plus de 77 organisations dans le monde, révèle une étude de TrendMicro. Au cours de ses premiers mois d’existence, les pirates russes avaient déjà paralysé plus de 60 entités, estime le FBI.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Vice