Le Port de Seattle, l’agence gouvernementale américaine supervisant le port maritime et l’aéroport de Seattle, a confirmé vendredi que l’opération de rançongiciel Rhysida était à l’origine d’une cyberattaque ayant eu un impact sur ses systèmes au cours des trois dernières semaines.
L’agence a révélé le 24 août que l’attaque l’avait forcée à isoler certains de ses systèmes critiques pour contenir l’impact. La panne informatique qui en a résulté a perturbé les systèmes d’enregistrement des réservations et retardé les vols à l’aéroport international de Seattle-Tacoma.
Aujourd’hui, trois semaines après la divulgation initiale, le Port a officiellement confirmé que la violation d’août était une attaque de ransomware coordonnée par les affiliés de Rhysida ransomware.
« Cet incident était une attaque de « ransomware » par l’organisation criminelle connue sous le nom de Rhysida. Il n’y a eu aucune nouvelle activité non autorisée sur les systèmes portuaires depuis ce jour. Il reste sûr de voyager depuis l’aéroport international de Seattle-Tacoma et d’utiliser les installations maritimes du port de Seattle », a-t-il déclaré dans un communiqué de presse.
« Notre enquête a déterminé que l’acteur non autorisé a pu accéder à certaines parties de nos systèmes informatiques et a pu crypter l’accès à certaines données. »
La décision du port de mettre les systèmes hors ligne et le gang de ransomwares cryptant ceux qui n’étaient pas isolés à temps ont provoqué des pannes affectant plusieurs services et systèmes, notamment les bagages, les bornes d’enregistrement, la billetterie, le Wi-Fi, les panneaux d’affichage des passagers, le site Web du Port de Seattle, l’application flySEA et le stationnement réservé.
Bien que le port ait déjà remis en ligne la plupart des systèmes affectés au cours de la semaine, il travaille toujours à la restauration d’autres services clés, tels que le site Web du Port de Seattle, le SEA Visitor Pass, les temps d’attente de la TSA et l’accès à l’application flySEA (sauf s’ils sont téléchargés avant l’attaque ransomware d’août).
Le Port a également décidé de ne pas céder aux demandes du gang de ransomwares de payer pour un déchiffreur, même si les attaquants publieraient probablement des données volées de la mi-août à la fin août sur leur site de fuite dark Web.
« Le port de Seattle n’a aucune intention de payer les auteurs de la cyberattaque sur notre réseau », a déclaré Steve Metruck, directeur exécutif du Port de Seattle. « Payer l’organisation criminelle ne refléterait pas les valeurs portuaires ou notre engagement à être un bon intendant de l’argent des contribuables. »
Rhysida est une opération relativement nouvelle de ransomware en tant que service (RaaS) qui a fait surface en mai 2023 et a rapidement gagné en notoriété après avoir violé la British Library et l’armée chilienne (Ejército de Chile).
Le Département américain de la Santé et des Services sociaux (HHS) a lié Rhysida à des attaques contre des organisations de santé. Dans le même temps, la CISA et le FBI ont averti que ce gang de cybercriminalité était également à l’origine de nombreuses attaques opportunistes ciblant des victimes dans un large éventail d’autres secteurs de l’industrie.
Par exemple, en novembre, Rhysida a violé la filiale de Sony Insomniac Games et divulgué 1,67 To de documents sur le dark Web après que le studio de jeux ait refusé de payer une rançon de 2 millions de dollars.
Ses affiliés ont également violé la ville de Columbus, Ohio, MarineMax (le plus grand détaillant de bateaux de plaisance et de yachts au monde) et le système de santé de Singing River. Ce dernier a averti près de 900 000 personnes que leurs données avaient été volées lors d’une attaque de ransomware Rhysida en août 2023.