Le gang de ransomwares RansomHub est à l’origine de la récente cyberattaque contre le géant des services pétroliers et gaziers Halliburton, qui a perturbé les systèmes informatiques et les opérations commerciales de l’entreprise.

L’attaque a provoqué des perturbations généralisées et Breachtrace a appris que les clients ne pouvaient pas générer de factures ou de bons de commande car les systèmes requis étaient en panne.

Halliburton a divulgué l’attaque vendredi dernier dans un dossier auprès de la SEC, déclarant avoir subi une cyberattaque le 21 août 2024 par une partie non autorisée.

« Le 21 août 2024, Halliburton Company (la « Société ») a appris qu’un tiers non autorisé avait eu accès à certains de ses systèmes », peut-on lire dans le dossier de Halliburton auprès de la SEC.

« Lorsque l’entreprise a pris connaissance du problème, elle a activé son plan de réponse en matière de cybersécurité et a lancé une enquête interne avec le soutien de conseillers externes pour évaluer et remédier à l’activité non autorisée. »

La société fournit de nombreux services aux sociétés pétrolières et gazières, notamment la construction de puits, le forage, la fracturation hydraulique (fracturation hydraulique), ainsi que des logiciels et des services informatiques. En raison de la large gamme de services de l’entreprise, il existe une grande connectivité entre eux et leurs clients.

Cependant, la société n’a pas partagé beaucoup de détails sur l’attaque, un client de l’industrie pétrolière et gazière ayant déclaré à Breachtrace qu’ils avaient été laissés dans l’ignorance pour déterminer si l’attaque les avait touchés et comment se protéger.

Cela a amené d’autres clients à se déconnecter d’Halliburton en raison du manque d’informations partagées.

Breachtrace a également été informé que certaines entreprises travaillaient avec ONG-ISAC—une agence qui agit comme un point central de coordination et de communication pour les menaces physiques et de cybersécurité contre l’industrie pétrolière et gazière—pour recevoir des informations techniques sur l’attaque afin de déterminer si elles ont également été violées.

RansomHub ransomware derrière l’attaque
Pendant des jours, il y a eu des rumeurs selon lesquelles Halliburton aurait subi une attaque de ransomware RansomHub, les utilisateurs l’affirmant sur Reddit et sur le site de discussion sur les licenciements, TheLayoff, où une note de rançon partielle de RansomHub a été publiée.

Lorsque Breachtrace a contacté Halliburton au sujet de ces allégations, Halliburton a déclaré qu’elle ne faisait aucun autre commentaire.

« Nous ne commentons pas au-delà de ce qui était inclus dans notre dépôt. Toutes les communications ultérieures se feront sous la forme d’un 8-K », a déclaré Halliburton à Breachtrace .

Cependant, dans un courriel du 26 août envoyé aux fournisseurs et partagé avec Breachtrace , Halliburton a fourni des informations supplémentaires indiquant que la société avait mis les systèmes hors ligne pour les protéger et travaillait avec Mandiant pour enquêter sur l’incident.

« Nous vous contactons pour vous informer d’un problème de cybersécurité affectant Halliburton », lit-on dans la lettre vue par Breachtrace .

« Dès que nous avons appris l’existence du problème, nous avons activé notre plan de réponse à la cybersécurité et pris des mesures pour y remédier, notamment (1) en mettant proactivement certains systèmes hors ligne pour les protéger, (2) en sollicitant le soutien de conseillers externes de premier plan, y compris Mandiant, et (3) en informant les forces de l’ordre. »

Ils ont également déclaré que leurs systèmes de messagerie continuent de fonctionner car ils sont hébergés sur l’infrastructure Microsoft Azure. Une solution de contournement est également disponible pour les transactions et l’émission de bons de commande.

Cet e-mail comprend une liste d’IOC contenant des noms de fichiers et des adresses IP associés à l’attaque que les clients peuvent utiliser pour détecter une activité similaire sur leur réseau.

L’un de ces IOC est destiné à un exécutable Windows nommé maintenance.exe, dont Breachtrace a confirmé qu’il s’agissait d’un cryptographe RansomHub ransomware.

Après avoir analysé l’échantillon, il semble qu’il s’agisse d’une version plus récente que celle précédemment analysée, car il contient un nouvel argument de ligne de commande « -cmd string », qui exécutera une commande sur l’appareil avant de chiffrer les fichiers.

Cryptographe de hub de rançon utilisé dans l’attaque d’Halliburton

Rançongiciel
L’opération de ransomware RansomHub a été lancée en février 2024, affirmant qu’il s’agissait d’un groupe d’extorsion et d’extorsion de vol de données qui vendait des fichiers volés au plus offrant.

Cependant, peu de temps après, il a été découvert que l’opération utilisait également des chiffreurs de ransomware dans ses attaques à double extorsion, où les auteurs de la menace ont violé les réseaux, volé des données, puis crypté des fichiers.

Les fichiers cryptés et la menace de fuite de données volées ont ensuite été utilisés comme levier pour inciter les entreprises à payer une rançon.

Symantec a analysé les chiffreurs de ransomware et a indiqué qu’ils étaient basés sur les chiffreurs de ransomware Knight, anciennement connus sous le nom de Cyclope.

L’opération Knight a affirmé avoir vendu son code source en février 2024 et s’être arrêtée au moment du lancement de RansomHub. Cela a amené de nombreux chercheurs à croire que RansomHub est une nouvelle image de marque de l’opération de ransomware Knight.

Aujourd’hui, le FBI a publié un avis sur RansomHub, partageant les tactiques de l’acteur de la menace et avertissant qu’il avait violé au moins 210 victimes depuis février.

Il est courant que le FBI et la CISA publient des avis coordonnés sur les acteurs de la menace peu de temps après qu’ils ont mené une attaque très percutante contre des infrastructures critiques, telles que Halliburton. Cependant, on ne sait pas si l’avertissement et l’attaque sont liés.

Depuis le début de l’année, RansomHub a été responsable de nombreuses attaques très médiatisées, notamment celles contre la coopérative de crédit américaine à but non lucratif Patelco, la chaîne de pharmacies Rite Aid, la maison de vente aux enchères Christie’s et le fournisseur de télécommunications américain Frontier Communications.

Le site de fuite de données de l’opération de ransomware a également été utilisé pour divulguer des données volées appartenant à Change Healthcare à la suite de l’arrêt de l’opération de ransomware BlackCat et ALPHV.

On pense qu’après la fermeture de BlackCat, certains de ses affiliés ont migré vers RansomHub, ce qui leur a permis d’intensifier rapidement leurs attaques avec des acteurs expérimentés de la menace des ransomwares.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *