Dish Network, un fournisseur de télévision américain, a très probablement payé une rançon après avoir été touché par une attaque de ransomware en février sur la base du libellé utilisé dans les lettres de notification de violation de données envoyées aux employés concernés.
Bien qu’il n’ait pas directement confirmé qu’il avait payé, Dish l’a laissé entendre en disant qu’il « a reçu la confirmation que les données extraites ont été supprimées ».
Les gangs de rançongiciels ne suppriment les données ou ne fournissent une clé de décryptage qu’après le paiement d’une rançon, ce qui signifie qu’il est très peu probable que Dish puisse recevoir la confirmation que les données volées ont été supprimées sans payer.
Même si les forces de l’ordre étaient en mesure d’intercepter le serveur hébergeant les données, il n’y aurait aucun moyen de savoir qu’une copie des données n’a pas également été stockée ailleurs par les acteurs de la menace sans payer de rançon.
Malheureusement, payer une rançon ne garantit pas la suppression complète des données volées. Des incidents passés ont démontré que les victimes qui ont payé des rançons ont ensuite été soumises à de nouvelles extorsions des semaines plus tard, ont vu leurs données vendues à d’autres acteurs de la menace ou les ont divulguées sur des sites de fuite de données.
Breachtrace a contacté un porte-parole de Dish Network pour confirmer s’il avait payé la rançon, mais aucune réponse n’était immédiatement disponible.
Aucune donnée client n’a été affectée par l’incident
La société a également révélé dans les lettres de notification que les informations des clients n’avaient pas été compromises lors de l’attaque de ransomware qui a frappé son réseau en février.
Cependant, Dish a découvert que des dossiers confidentiels et des informations sensibles appartenant à des employés actuels et anciens (et à leurs familles) avaient été exposés lors de la violation.
« Nous avons depuis déterminé que nos bases de données clients n’ont pas été consultées lors de cet incident », a révélé la société dans des lettres de notification de violation de données envoyées aux personnes concernées.
« Cependant, nous avons confirmé que certains dossiers et informations personnelles liés aux employés (ainsi que des informations sur certains anciens employés, membres de la famille et un nombre limité d’autres personnes) figuraient parmi les données extraites. »
Dish a également informé le bureau du procureur général du Maine que la violation de données avait touché 296 851 personnes, les informations exposées comprenant le nom et d’autres identifiants personnels en combinaison avec les numéros de permis de conduire ou les numéros de carte d’identité de non-conducteur.
Cela vient après que Dish ait confirmé dans un formulaire 8-K déposé auprès de la Securities and Exchange Commission (SEC) des États-Unis le 28 février que les attaquants avaient volé des données (contenant potentiellement des informations personnelles) mais n’avaient pas révélé si elles appartenaient à ses employés, clients, ou les deux.
Les attaquants auraient chiffré les serveurs VMware ESXi de Dish
Bien que le gang de rançongiciels spécifique responsable de l’incident ne soit pas nommé par la société, Breachtrace a été informé par des sources crédibles que la célèbre opération de rançongiciel Black Basta avait orchestré l’assaut, violant initialement Boost Mobile avant d’infiltrer le réseau d’entreprise Dish.
Selon plusieurs sources proches du dossier, l’attaque s’est produite aux premières heures du 23 février. Les assaillants auraient eu accès aux contrôleurs de domaine Windows de Dish Network, cryptant par la suite les serveurs et les sauvegardes VMware ESXi, provoquant une panne massive qui a affecté ses sites Web et ses applications. .
Alors que Breachtrace a cherché à vérifier ces informations de manière indépendante, aucun gang de rançongiciels n’a ouvertement revendiqué la responsabilité de l’agression, et des preuves concrètes doivent encore émerger pour confirmer l’attribution de Black Basta.
Depuis l’incident, le fournisseur de diffusion par satellite a été giflé par plusieurs recours collectifs inFtentés dans différents États alléguant que Dish dispose d’une cybersécurité et d’une infrastructure informatique médiocres.
« La société n’a pas été en mesure de sécuriser correctement les données des clients, les rendant vulnérables à l’accès par des tiers malveillants », déclare une plainte en recours collectif pour violation de la loi fédérale sur les valeurs mobilières déposée auprès du tribunal de district américain du Colorado.
Dish Network n’a pas encore répondu aux nombreuses demandes de Breachtrace envoyées par e-mail, demandant plus de détails concernant la panne et l’attaque de ransomware sous-jacente.