Diebold Nixdorf, un important fournisseur de guichets automatiques bancaires (GAB) et de technologie de paiement pour les banques et les détaillants, a récemment subi une attaque de ransomware qui a perturbé certaines opérations. La société affirme que les pirates n’ont jamais touché ses guichets automatiques ou ses réseaux clients, et que l’intrusion n’a affecté que son réseau d’entreprise.
Diebold basé à Canton, Ohio [NYSE: DBD] est actuellement le plus grand fournisseur de guichets automatiques aux États-Unis, avec environ 35 % du marché mondial des distributeurs automatiques de billets. L’entreprise de 35 000 employés produit également des systèmes et des logiciels de point de vente utilisés par de nombreux détaillants.
Selon Diebold, dans la soirée du samedi 25 avril, l’équipe de sécurité de l’entreprise a découvert un comportement anormal sur son réseau d’entreprise. Soupçonnant une attaque de ransomware, Diebold a déclaré qu’il avait immédiatement commencé à déconnecter les systèmes de ce réseau pour contenir la propagation du malware.
Des sources ont déclaré à BreachTrace que la réponse de Diebold avait affecté les services de plus de 100 clients de l’entreprise. Diebold a déclaré que la réponse de l’entreprise à l’attaque avait perturbé un système qui automatise les demandes de techniciens de service sur le terrain, mais que l’incident n’avait pas affecté les réseaux des clients ou le grand public.
« Diebold a déterminé que la propagation du logiciel malveillant a été contenue », a déclaré Diebold dans une déclaration écrite fournie à BreachTrace. « L’incident n’a pas affecté les guichets automatiques, les réseaux clients ou le grand public, et son impact n’a pas été significatif pour notre entreprise. Malheureusement, la cybercriminalité est un défi permanent pour toutes les entreprises. Diebold Nixdorf prend très au sérieux la sécurité de ses systèmes et de son service client. Notre direction a contacté personnellement les clients pour les sensibiliser à la situation et à la manière dont nous l’avons résolue. »
PAS SI PRO LOCK
Une enquête a déterminé que les intrus avaient installé le ProLock ransomware, qui, selon les experts, est une souche de ransomware relativement rare qui a connu plusieurs noms et itérations au cours des derniers mois.
Par exemple, jusqu’à récemment, ProLock était mieux connu sous le nom de « PwndLocker”, qui est le nom du rançongiciel qui a infecté des serveurs du comté de Lasalle, Illinois en mars. Mais les malfaiteurs derrière PwndLocker ont renommé leur logiciel malveillant après que les experts en sécurité de Emsisoft a publié un outil qui permet aux victimes de PwndLocker de décrypter leurs fichiers sans payer la rançon.
Diebold affirme qu’il n’a pas payé la rançon exigée par les attaquants, bien que la société n’ait pas discuté du montant demandé. Mais Laurent Abrams de BipOrdinateur a déclaré que la rançon demandée pour les victimes de ProLock se situe généralement dans les six chiffres, de 175 000 $ à plus de 660 000 $ selon la taille du réseau victime.
Fabien Wosardirecteur de la technologie d’Emsisoft, a déclaré que si les affirmations de Diebold sur le fait de ne pas payer ses agresseurs sont vraies, c’est probablement pour le mieux : c’est parce que les versions actuelles de l’outil de décryptage de ProLock corrompent des fichiers plus volumineux tels que les fichiers de base de données.
Par chance, Emsisoft fait proposer un outil qui corrige le décrypteur afin qu’il récupère correctement les fichiers retenus en otage par ProLock, mais cela ne fonctionne que pour les victimes qui ont déjà payé une rançon aux escrocs derrière ProLock.
« Nous avons un outil qui corrige un bogue dans le décrypteur, mais cela ne fonctionne que si vous avez les clés de décryptage des auteurs du ransomware », a déclaré Wosar.
GUERRIERS WEEK-END
Abrams de BleepingComputer a déclaré que le moment de l’attaque contre Diebold – samedi soir – est assez courant et que les fournisseurs de ransomwares ont tendance à attendre le week-end pour lancer leurs attaques, car c’est généralement à ce moment-là que la plupart des organisations ont le moins de personnel technique disponible. Incidemment, les week-ends sont également le moment où la grande majorité des attaques d’écrémage ATM ont lieu – pour la même raison.
« Les soirées nocturnes du vendredi et du samedi sont importantes, car ils veulent appuyer sur la gâchette [on the ransomware] quand personne n’est là », a déclaré Abrams.
De nombreux gangs de ransomwares ont pris l’habitude de voler des données sensibles aux victimes avant de lancer le ransomware, comme une sorte de gourdin virtuel à utiliser contre les victimes qui n’acquiescent pas immédiatement à une demande de rançon.
Armés des données de la victime – ou des données sur les partenaires ou les clients de l’entreprise victime – les attaquants peuvent alors menacer de publier ou de vendre les informations si les victimes refusent de payer. En effet, certains des plus grands groupes de rançongiciels font exactement cela, mettant constamment à jour les blogs sur Internet et le dark Web qui publient les noms et les données volés aux victimes qui refusent de payer.
Jusqu’à présent, les escrocs derrière ProLock n’ont pas lancé leur propre blog. Mais Abrams a déclaré que le groupe criminel derrière lui avait indiqué qu’il se dirigeait au moins dans cette direction, notant que dans ses communications avec le groupe à la suite de l’attaque du comté de Lasalle, ils lui avaient envoyé une image et une liste de dossiers suggérant qu’ils avaient accédé données sensibles pour cette victime.
« Je le dis depuis l’année dernière, lorsque le groupe de rançongiciels Maze a commencé à publier les noms et les données de leurs victimes : chaque attaque de rançongiciel doit désormais être traitée comme une violation de données », a déclaré Abrams.