La plateforme de paiement MoneyGram affirme qu’il n’y a aucune preuve que le ransomware soit à l’origine d’une récente cyberattaque qui a entraîné une panne de cinq jours en septembre.
MoneyGram est une plateforme américaine de paiement et de transfert d’argent qui permet aux gens d’envoyer et de recevoir de l’argent via un vaste réseau de 350 000 emplacements physiques dans 200 pays ou via son application mobile et son site Web.
MoneyGram a confirmé avoir subi une cyberattaque et mis les systèmes hors ligne pour contenir la violation le 20 septembre, trois jours après que les clients ont commencé à signaler des problèmes.
La perturbation des systèmes informatiques a empêché les clients d’accéder et de transférer leur argent et d’effectuer d’autres activités en ligne.
Alors que beaucoup soupçonnaient qu’il s’agissait d’une attaque par ransomware, MoneyGram n’a partagé aucun autre détail, et aucun gang de ransomware n’a revendiqué la responsabilité.
Dans un e-mail contenant des informations mises à jour sur la cyberattaque envoyée aux parties prenantes le 25 septembre et consultée par Breachtrace, MoneyGram a déclaré que les clients pouvaient enfin à nouveau transférer des fonds.
MoneyGram a confirmé que les systèmes de l’entreprise avaient été piratés, mais après avoir enquêté sur l’attaque avec CrowdStrike, les forces de l’ordre et d’autres professionnels de la cybersécurité ont déclaré qu’il n’y avait aucune preuve que le ransomware était derrière l’attaque.
« Après avoir travaillé avec d’éminents experts externes en cybersécurité, y compris CrowdStrike, et coordonné avec les forces de l’ordre américaines, la majorité de nos systèmes sont désormais opérationnels et nous avons repris les services de transfert d’argent », indique un courrier électronique obtenu par Breachtrace.
« Nous reconnaissons l’importance de la sécurité du système lorsque nous prenons ces mesures. Nous n’avons restauré nos systèmes qu’après avoir pris de nombreuses mesures de précaution. À l’heure actuelle, nous n’avons aucune preuve que ce problème implique un ransomware et nous n’avons aucune raison de croire que cela a eu un impact sur les systèmes de nos agents. »
Une source familière avec l’attaque a partagé de plus amples informations, indiquant à Breachtrace que MoneyGram avait initialement été piraté par une attaque d’ingénierie sociale sur le service d’assistance interne de l’entreprise.
Cette attaque a permis aux auteurs de la menace d’accéder au réseau de MoneyGram à l’aide des informations d’identification d’un employé et de cibler les informations des employés dans les services Windows Active Directory de l’entreprise. Cependant, ils ont été détectés et bloqués avant que d’autres dommages puissent être causés.
Breachtrace a contacté MoneyGram avec des questions sur la violation, mais n’a pas reçu de réponse.
Bien que MoneyGram n’ait pas publiquement attribué l’attaque à un acteur menaçant en particulier, les stratégies rappellent les attaques précédemment menées par un collectif de pirates informatiques en vrac connu sous le nom de Scattered Spider (alias UNC3944, the Com et 0ktapus).
En septembre 2023, Scattered Spider était à l’origine d’une cyberattaque contre MGM Resorts, qu’ils ont violée en se faisant passer pour un employé de MGM tout en appelant le service d’assistance informatique pour réinitialiser le mot de passe.
Une fois qu’ils ont eu accès au réseau, les auteurs de la menace ont déployé le ransomware BlackCat pour chiffrer des centaines de serveurs VMware ESXi.
En raison de la sophistication de leurs attaques d’ingénierie sociale, Microsoft, le FBI/CISA et Mandiant ont publié des avis sur leurs tactiques et sur la manière de s’en défendre.