La multinationale technologique suisse et sous-traitant du gouvernement américain ABB a confirmé que certains de ses systèmes avaient été touchés par une attaque de ransomware, précédemment décrite par la société comme « un incident de sécurité informatique ».
Il a également révélé que les attaquants avaient volé des données sur des appareils compromis et qu’il informerait les personnes concernées si leurs informations étaient affectées par l’incident.
« ABB a déterminé qu’un tiers non autorisé avait accédé à certains systèmes ABB, déployé un type de ransomware qui ne se propage pas d’eux-mêmes et exfiltré certaines données », a déclaré la société dans un communiqué de presse.
« ABB communiquera avec les parties concernées si nécessaire, y compris, par exemple, des clients, des fournisseurs et/ou des personnes spécifiques où des informations personnellement identifiables ont été affectées. »
« À ce jour, l’enquête médico-légale n’a identifié aucune preuve qu’un système client ait été directement affecté, et aucun client n’a signalé que cela s’est produit », a déclaré ABB dans les notifications envoyées aux clients concernés.
Il a également ajouté que la récente violation a maintenant été contenue, les services et systèmes essentiels précédemment perturbés fonctionnant comme prévu. Tous les services et systèmes affectés restants sont en cours de restauration et des mesures de sécurité supplémentaires ont été mises en œuvre pour protéger le réseau contre de futures attaques.
L’enquête en est encore à ses débuts et ABB travaille également avec des conseillers et des forces de l’ordre pour minimiser l’impact de l’attaque par ransomware.
ABB a enregistré un chiffre d’affaires de 29,4 milliards de dollars pour 2022 et compte environ 105 000 employés qui développent des systèmes de contrôle industriel (ICS) et des systèmes SCADA pour la fabrication et les fournisseurs d’énergie.
La société fournit des services à un large éventail de clients de premier plan et de gouvernements locaux dans le monde entier. Il travaille également avec le département américain de la Défense et des agences civiles fédérales telles que les ministères de l’Intérieur, des Transports et de l’Énergie, ainsi qu’avec la Garde côtière des États-Unis et le service postal américain.
Attaque du rançongiciel Black Basta
ABB a été touché par la cyberattaque du 7 mai, qui a entraîné une interruption des opérations, des retards de projets et un impact significatif sur ses usines.
Bien qu’ABB n’ait pas révélé le nom des attaquants, Breachtrace a confirmé de manière indépendante que l’attaque avait été menée par le gang de rançongiciels Black Basta avec l’aide d’une source anonyme familière avec l’incident.
Plusieurs employés ont également déclaré à Breachtrace que l’attaque par ransomware ciblait le Windows Active Directory de l’entreprise, affectant des centaines de systèmes Windows.
En réponse, ABB a immédiatement mis fin aux connexions VPN avec ses clients pour bloquer l’accès des pirates à d’autres réseaux.
« ABB a récemment détecté un incident de sécurité informatique qui a directement affecté certains sites et systèmes », a déclaré la société à Breachtrace dans un communiqué après l’attaque.
Black Basta est une opération Ransomware-as-a-Service (RaaS) qui a fait surface en avril 2022 et a immédiatement commencé à cibler de nombreuses entreprises victimes dans des attaques de double extorsion.
Le gang de rançongiciels a également été récemment lié au groupe de piratage FIN7, un gang de cybercriminalité notoire à motivation financière également suivi sous le nom de Carbanak.
Depuis son lancement, Black Basta a été responsable d’attaques visant l’American Dental Association, Sobeys, Knauf, Yellow Pages Canada, la société britannique d’externalisation Capita et, plus récemment, l’entrepreneur de défense allemand Rheinmetall.