NCR subit une panne sur sa plateforme de point de vente Aloha après avoir été touché par une attaque de ransomware revendiquée par le gang BlackCat/ALPHV.
NCR est une société américaine de conseil en logiciels et technologies qui fournit des solutions bancaires numériques, un système de point de vente et des solutions de traitement des paiements pour les restaurants, les entreprises et les détaillants.
L’un de leurs produits, la plate-forme Aloha POS utilisée dans les services d’accueil, a subi une panne depuis mercredi, les clients ne pouvant pas utiliser le système.
Après des jours de silence, NCR a révélé aujourd’hui que la panne avait été causée par une attaque de ransomware sur les centres de données utilisés pour alimenter leur plate-forme Aloha POS.
« En tant que client estimé de NCR Corporation, nous vous fournissons des informations supplémentaires sur une seule panne de centre de données qui affecte un nombre limité d’applications Aloha auxiliaires pour un sous-ensemble de nos clients hôteliers », lit-on dans un e-mail envoyé aux clients Aloha POS.
« Le 13 avril, nous avons confirmé que la panne était le résultat d’un incident de ransomware. »
« Immédiatement après avoir découvert ce développement, nous avons commencé à contacter des clients, à engager des experts tiers en cybersécurité et à lancer une enquête. »
« Les forces de l’ordre ont également été prévenues. »
Dans une déclaration à Breachtrace, NCR a déclaré que cette panne affecte un sous-ensemble de ses clients hôteliers Aloha POS et seulement un « nombre limité d’applications Aloha auxiliaires ».
Cependant, les clients d’Aloha POS ont partagé sur Reddit que la panne a causé des problèmes importants dans leurs opérations commerciales.
« Gérant de restaurant ici, petite franchise coincée à l’âge de pierre avec environ 100 employés. Nous faisons le vieux stylo et papier en ce moment et l’envoyons au siège social. Toute la situation est une énorme migraine », a posté un client sur le AlohaPOS Reddit .
D’autres utilisateurs s’inquiètent de la paie de leurs employés à temps, différents clients recommandant que les données soient extraites manuellement des fichiers de données jusqu’à la fin de la panne.
« Nous avons une voie claire vers la reprise et nous l’exécutons. Nous travaillons 24 heures sur 24 pour rétablir un service complet pour nos clients », a déclaré NCR à Breachtrace. « De plus, nous fournissons à nos clients une assistance dédiée et des solutions de contournement pour soutenir leurs opérations alors que nous travaillons à une restauration complète. »
Malheureusement, les pannes causées par des cyberattaques comme celles-ci ont tendance à prendre un peu de temps à se résoudre de manière sécurisée, comme on l’a vu avec les récentes cyberattaques DISH et Western Digital.
BlackCat revendique l’attaque contre NCR
Alors que NCR n’a pas partagé quelle opération de ransomware était à l’origine de leur attaque, le chercheur en cybersécurité Dominic Alivieri a repéré un message de courte durée sur le site de fuite de données du gang de ransomware BlackCat/ALPHV où les acteurs de la menace ont revendiqué la responsabilité.
Ce message comprenait également un extrait de la conversation de négociation entre un représentant présumé de la NCR et le gang des rançongiciels.
Selon son chat, le gang de rançongiciels a déclaré à NCR qu’il n’avait volé aucune donnée stockée sur les serveurs lors de l’attaque.
Cependant, les acteurs de la menace ont affirmé avoir volé les informations d’identification des clients de NCR et ont déclaré qu’elles seraient publiées si une rançon n’était pas payée.
« Nous prenons beaucoup d’informations d’identification sur les réseaux de vos clients utilisés pour se connecter à Insight, Pulse, etc. Nous vous donnerons cette liste après paiement », ont déclaré les acteurs de la menace à NCR.
BlackCat a depuis supprimé le message NCR de son site de fuite de données, espérant probablement que l’entreprise serait disposée à négocier une rançon.
Le gang de rançongiciels BlackCat a lancé ses opérations en novembre 2021 avec un chiffreur hautement sophistiqué qui permettait une large gamme de personnalisation des attaques.
Le gang de rançongiciels a reçu le nom de BlackCat en raison de l’image d’un chat noir sur son site de fuite de données. Cependant, les acteurs de la menace se font appeler ALPHV en interne lorsqu’ils discutent de leur opération sur des forums de piratage et lors de négociations.
Depuis son lancement, l’opération de ransomware est devenue l’un des ransomwares les plus importants à l’heure actuelle, responsable de centaines d’attaques dans le monde, avec des demandes de rançon allant de 35 000 $ à plus de 10 millions de dollars.