Panera Bread, une chaîne américaine de restauration rapide, a très probablement payé une rançon après avoir été touchée par une attaque de ransomware, suggère que language utilisait un e-mail interne envoyé aux employés.
La semaine dernière, Panera a commencé à envoyer des notifications de violation de données aux employés, avertissant que des acteurs de la menace avaient volé des informations personnelles lors d’une cyberattaque en mars qui comprenait des noms et des numéros de sécurité sociale.
Bien que Panera n’ait pas divulgué publiquement les détails de son attaque, Breachtrace a d’abord signalé que Panera Bread avait subi une attaque de ransomware qui chiffrait toutes ses machines virtuelles.
L’attaque a entraîné une perturbation d’une semaine à l’échelle de l’entreprise qui a affecté leur site Web, leurs systèmes téléphoniques, leur application mobile, leurs points de vente et leurs systèmes internes.
Breachtrace a appris plus tard que l’un de leurs serveurs de stockage n’était pas crypté lors de l’attaque, ce qui a permis à l’entreprise de reconstruire et de restaurer des serveurs à partir de sauvegardes.
Cependant, aucun gang de ransomware n’a jamais revendiqué l’attaque ou divulgué des données volées, indiquant qu’une rançon avait été payée.
Tout comme les notifications de violation de données étaient envoyées par courrier électronique jeudi, un employé présumé a affirmé sur Reddit que Panera avait payé une rançon pour que les pirates suppriment les données volées et évitent une fuite publique.
« Cela n’ira probablement pas loin, mais ils viennent de sortir d’une réunion d’entreprise où ils nous ont annoncé que toutes nos données avaient été volées depuis mars et qu’ils avaient payé les pirates pour « ne pas divulguer » les données de ses employés », lit-on dans le fil Reddit d’un employé présumé de Panera.
L’employé anonyme a également partagé un e-mail interne du vice-président senior de Panera, KJ Payette, qui étaye la demande de paiement de rançon en déclarant que Panera a obtenu l’assurance que les données volées avaient été supprimées et ne seraient pas publiées.
« Veuillez noter que nous avons obtenu l’assurance que les informations concernées ont été supprimées et ne seront pas publiées. À l’heure actuelle, rien n’indique que les informations consultées ont été rendues publiques », peut-on lire dans un courrier électronique interne de Panera envoyé aux employés.
Lors d’attaques par ransomware, les auteurs de menaces violent une entreprise, puis se propagent tranquillement sur son réseau tout en volant les données de l’entreprise. Une fois qu’ils obtiennent des privilèges administratifs sur le réseau, ils déploient le chiffreur pour chiffrer tous les périphériques.
Les auteurs de la menace utilisent les données volées et les fichiers cryptés comme levier pour forcer les entreprises à payer une rançon, promettant de fournir un déchiffreur et de supprimer toutes les données volées lors de l’attaque.
Il est hautement improbable que Panera puisse recevoir l’assurance que les données ont été supprimées et ne seraient pas publiées à moins qu’elles ne proviennent directement des acteurs de la menace après le paiement d’une demande de rançon.
De plus, même si les forces de l’ordre étaient en mesure d’intercepter le serveur hébergeant les données, il n’y aurait aucun moyen de savoir si une copie des données était stockée ailleurs par les auteurs de la menace.
Malheureusement, même le paiement d’une rançon ne garantit pas la suppression complète des données volées, les incidents passés démontrant que les acteurs de la menace ne tiennent pas toujours leurs promesses et que les données ont été vendues à d’autres acteurs de la menace, divulguées sur des sites de fuite de données ou utilisées pour extorquer à nouveau l’entreprise.
Cela a été vu récemment avec l’attaque de ransomware BlackCat sur United Healthcare lorsque la société a payé une demande de rançon de 22 millions de dollars pour recevoir un décrypteur et faire supprimer les données volées.
Cependant, après que BlackCat ait volé le paiement de la rançon sans payer l’affilié à l’origine de l’attaque, l’affilié a déclaré qu’il n’avait jamais supprimé les données et a de nouveau extorqué United Healthcare, déclarant qu’il vendrait les données à d’autres acteurs de la menace à moins qu’un autre paiement ne soit effectué.
Pour prouver qu’ils détenaient toujours les données, les auteurs de la menace ont divulgué des échantillons sur le site de fuite de données d’un autre gang de ransomwares, Ransom Hub. Finalement, la fuite de données pour United Healthcare a disparu de ce site de fuite de données, indiquant qu’une autre rançon a probablement été payée.
Pour cette raison, les négociateurs de ransomwares ont déclaré à Breachtrace dans le passé que les entreprises ne devraient jamais payer de rançon pour supprimer des données volées, car rien ne garantit que cela sera fait.
Breachtrace a contacté Panera Bread pour confirmer s’ils avaient payé la rançon mais n’a pas reçu de réponse.