Toyota Financial Services (TFS) a confirmé avoir détecté un accès non autorisé sur certains de ses systèmes en Europe et en Afrique après que le ransomware Medusa a revendiqué une attaque contre l’entreprise.

Toyota Financial Services, filiale de Toyota Motor Corporation, est une entité mondiale présente sur 90 % des marchés où Toyota vend ses voitures, offrant du financement automobile à ses clients.

Plus tôt dans la journée, le gang du ransomware Medusa a répertorié TFS sur son site de fuite de données sur le dark web, exigeant un paiement de 8 000 000 $ pour supprimer les données prétendument volées à la société japonaise.

Les auteurs de la menace ont donné à Toyota 10 jours pour répondre, avec la possibilité de prolonger le délai de 10 000 dollars par jour.

Medusa réclame 8 millions de dollars à Toyota

Bien que Toyota Finance n’ait pas confirmé si des données avaient été volées lors de l’attaque, les auteurs de la menace affirment avoir exfiltré des fichiers et menacent de fuite de données si une rançon n’est pas payée.

Pour prouver l’intrusion, les pirates ont publié des exemples de données comprenant des documents financiers, des feuilles de calcul, des factures d’achat, des mots de passe de compte hachés, des identifiants et mots de passe en texte clair, des accords, des analyses de passeport, des organigrammes internes, des rapports de performance financière, des adresses e-mail du personnel, etc.

Medusa fournit également un fichier .TXT avec l’arborescence de fichiers de toutes les données qu’ils prétendent avoir volées dans les systèmes de Toyota.

La plupart des documents sont en allemand, ce qui indique que les pirates ont réussi à accéder aux systèmes servant aux opérations de Toyota en Europe centrale.

Breachtrace a contacté le constructeur automobile japonais pour obtenir un commentaire sur les données divulguées et un porte-parole de l’entreprise a fourni la déclaration suivante :

« Toyota Financial Services Europe & Africa a récemment identifié une activité non autorisée sur les systèmes d’un nombre limité de ses sites. »

« Nous avons mis certains systèmes hors ligne pour enquêter sur cette activité et réduire les risques et avons également commencé à travailler avec les forces de l’ordre. »

« Pour l’instant, cet incident est limité à Toyota Financial Services Europe et Afrique. »

Concernant l’état des systèmes concernés et leur retour estimé aux opérations normales, le porte-parole nous a indiqué que le processus de remise en ligne des systèmes est déjà en cours dans la plupart des pays.

Une autre violation de Citrix Bleed ?
Plus tôt dans la journée, suite à la divulgation par Medusa de TFS comme victime, l’analyste en sécurité Kevin Beaumont a souligné que le bureau allemand de la société disposait d’un point de terminaison Citrix Gateway exposé sur Internet qui n’avait pas été mis à jour depuis août 2023, indiquant qu’il était vulnérable au critique Citrix Bleed ( CVE-2023-4966) problème de sécurité.

Il y a quelques jours, il a été confirmé que les agents du ransomware Lockbit utilisaient des exploits accessibles au public pour Citrix Bleed afin de pirater la Banque industrielle et commerciale de Chine (ICBC), DP World, Allen & Overy et Boeing.

Il est possible que d’autres groupes de ransomwares aient commencé à exploiter Citrix Bleed, profitant de la surface d’attaque massive estimée à plusieurs milliers de points finaux.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *