Le gang clandestin de ransomwares a revendiqué la responsabilité d’une attaque du 5 octobre contre le géant japonais de la technologie Casio, qui a provoqué des perturbations du système et a eu un impact sur certains des services de l’entreprise.

Plus tôt cette semaine, Casio a révélé l’attaque sur son site Web, mais a caché des détails sur l’incident, affirmant qu’il avait engagé des informaticiens externes pour déterminer si des données personnelles ou d’autres informations confidentielles avaient été volées lors de l’attaque.

Aujourd’hui, le groupe clandestin de ransomwares a ajouté Casio sur son portail d’extorsion sur le dark Web, divulguant des trésors de données prétendument volées à la firme japonaise.

Les données divulguées incluent:

  • Documents confidentiels (社外秘)
  • Documents juridiques
  • Données personnelles des employés
  • Accords de confidentialité confidentiels
  • Informations sur la paie des employés
  • Informations sur les brevets
  • Documents financiers de l’entreprise
  • Informations sur le projet
  • Rapports d’incidents

Si ce qui précède est vrai, l’attaque a compromis la main-d’œuvre et la propriété intellectuelle de Casio, ce qui pourrait avoir un impact négatif sur ses activités.

Fuite de données Casio sur un portail souterrain d’extorsion de ransomware

Breachtrace a de nouveau contacté Casio pour lui demander un commentaire sur les allégations des acteurs de la menace et la fuite de données, mais nous n’avons pas reçu de réponse par publication. Par conséquent, les affirmations de l’auteur de la menace restent non vérifiées.

Présentation des ransomwares souterrains
Selon un rapport Fortinet de fin août 2024, Underground est une opération de ransomware à relativement petite échelle ciblant les systèmes Windows depuis juillet 2023.

La souche a été associée au groupe de cybercriminalité russe « RomCom » (Storm-0978), qui avait précédemment livré le ransomware Cuba sur des systèmes piratés.

Fortinet rapporte qu’au cours de l’été, des opérateurs clandestins de ransomwares se sont livrés à l’exploitation de CVE-2023-36884, une faille d’exécution de code à distance dans Microsoft Office, probablement utilisée comme vecteur d’infection.

Une fois qu’un système est piraté, les attaquants modifient le registre pour maintenir les sessions de bureau à distance actives pendant 14 jours après la déconnexion de l’utilisateur, ce qui leur donne une fenêtre confortable pour conserver l’accès au système.

Underground n’ajoute aucune extension de fichier aux fichiers cryptés et est configuré pour ignorer les types de fichiers essentiels au fonctionnement de Windows afin d’éviter de rendre le système inutilisable.

De plus, il arrête le service MS SQL Server pour libérer des données contre le vol et le cryptage, maximisant ainsi l’impact de l’attaque.

Comme c’est le cas avec la plupart des ransomwares Windows, Underground supprime les clichés instantanés pour rendre impossible la restauration facile des données.

Demande de rançon d’Underground

Un trait inhabituel des tactiques d’extorsion d’Underground est qu’il divulgue également les données volées sur Mega, favorisant les liens vers les archives qui y sont hébergées via son canal Telegram, maximisant l’exposition et la disponibilité des données.

Le portail souterrain d’extorsion de ransomware répertorie actuellement 17 victimes, dont la plupart sont basées aux États-Unis.

Reste à savoir si l’attaque de Casio sera la percée du groupe de menaces dans le courant dominant, suivie d’un volume/rythme d’attaque plus élevé, reste à voir.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *