La multinationale suisse ABB, l’un des principaux fournisseurs de technologies d’électrification et d’automatisation, a subi une attaque de rançongiciel Black Basta, qui aurait eu un impact sur les opérations commerciales.
Basée à Zurich, en Suisse, ABB emploie environ 105 000 employés et réalise un chiffre d’affaires de 29,4 milliards de dollars pour 2022. Dans le cadre de ses services, la société développe des systèmes de contrôle industriel (ICS) et des systèmes SCADA pour la fabrication et les fournisseurs d’énergie.
L’entreprise travaille avec un large éventail de clients et de gouvernements locaux, notamment Volvo, Hitachi, DS Smith, la ville de Nashville et la ville de Saragosse.
« ABB exploite plus de 40 installations d’ingénierie, de fabrication, de recherche et de service basées aux États-Unis avec une expérience éprouvée au service d’une diversité d’agences fédérales, y compris le ministère de la Défense, comme le Corps des ingénieurs de l’armée américaine, et des agences civiles fédérales telles que les départements of Interior, Transportation, Energy, United States Coast Guard, ainsi que le U.S. Postal Service », lit-on sur le site Web d’ABB.
Le 7 mai, la société a été victime d’une attaque de ransomware menée par Black Basta, un groupe de cybercriminalité qui a fait surface en avril 2022.
Breachtrace a appris de plusieurs employés que l’attaque par ransomware a affecté le Windows Active Directory de l’entreprise, affectant des centaines d’appareils.
En réponse à l’attaque, ABB a mis fin aux connexions VPN avec ses clients pour empêcher la propagation du ransomware à d’autres réseaux.
Breachtrace a indépendamment confirmé l’attaque d’une source proche de la situation et qui a demandé à rester anonyme.
L’attaque aurait perturbé les opérations de l’entreprise, retardant les projets et impactant les usines.
Breachtrace a contacté ABB au sujet de l’attaque, mais ils ont refusé de commenter.
Qui est Black Basta ?
Le gang de rançongiciels Black Basta a lancé son opération Ransomware-as-a-Service (RaaS) en avril 2022 et a rapidement commencé à accumuler des victimes d’entreprises dans des attaques à double extorsion.
En juin 2022, Black Basta s’était associé à l’opération malveillante QBot (QakBot), qui lançait Cobalt Strike sur les appareils infectés. Black Basta utiliserait alors Cobalt Strike pour obtenir un accès initial au réseau de l’entreprise et se propager latéralement à d’autres appareils.
Comme d’autres opérations de ransomware ciblant les entreprises, Black Basta a créé un chiffreur Linux pour cibler les machines virtuelles VMware ESXi exécutées sur des serveurs Linux.
Les chercheurs ont également lié le gang des rançongiciels au groupe de piratage FIN7, un gang de cybercriminalité à motivation financière également connu sous le nom de Carbanak.
Depuis son lancement, les acteurs de la menace ont été responsables d’une série d’attaques, notamment celles contre l’American Dental Association, Sobeys, Knauf et Yellow Pages Canada.
Récemment, l’opération de ransomware a attaqué Capita, la plus grande société d’externalisation du Royaume-Uni, et a commencé à divulguer des données volées.