La filiale philippine de fabrication de motos de Yamaha Motor a été touchée par une attaque de ransomware le mois dernier, entraînant le vol et la fuite des informations personnelles de certains employés.
Le constructeur de motos a enquêté sur l’incident avec l’aide d’experts en sécurité externes embauchés après la première détection de la violation le 25 octobre.
« L’un des serveurs gérés par [..] une filiale de fabrication et de vente de motos aux Philippines, Yamaha Motor Philippines, Inc. (YMPH), a été consulté sans autorisation par un tiers et a été touché par une attaque de ransomware, ainsi qu’une fuite partielle de les informations personnelles des employés stockées par l’entreprise ont été confirmées », a déclaré Yamaha.
« YMPH et le centre informatique du siège social de Yamaha Motor ont mis en place une équipe de contre-mesures et ont travaillé pour éviter d’autres dommages tout en enquêtant sur l’ampleur de l’impact, etc., et en travaillant sur une récupération avec la contribution d’une société externe de sécurité Internet. »
Yamaha a déclaré que les auteurs de la menace ont violé un seul serveur de Yamaha Motor Philippines et que leur attaque n’a pas eu d’impact sur le siège social ou sur les autres filiales du groupe Yamaha Motor.
La société a également signalé l’incident aux autorités philippines compétentes et travaille actuellement à évaluer l’ampleur de l’impact de l’attaque.
Un porte-parole de Yamaha Motor n’était pas immédiatement disponible pour commenter lorsqu’il a été contacté par Breachtrace plus tôt dans la journée.
Violation revendiquée par le gang INC Ransom
Bien que l’entreprise n’ait pas encore attribué l’attaque à une opération spécifique, le gang INC Ransom a revendiqué l’attaque et divulgué ce qu’il prétend être des données volées sur le réseau de Yamaha Motor Philippines.
Les auteurs de la menace ont ajouté l’entreprise à son site de fuite sur le dark web le mercredi 15 novembre et ont depuis publié plusieurs archives de fichiers contenant environ 37 Go de données prétendument volées contenant des informations d’identification des employés, des fichiers de sauvegarde et des informations sur l’entreprise et les ventes, entre autres.
INC Ransom a fait surface en août 2023 et a ciblé des organisations couvrant divers secteurs tels que la santé, l’éducation et le gouvernement dans le cadre d’attaques de double extorsion.
Depuis lors, INC Ransom a ajouté 30 victimes à son site Web de fuite. Cependant, le nombre d’organisations victimes de violations est probablement plus important, car seules celles qui refusent de payer la rançon sont confrontées à une divulgation publique et à des fuites de données ultérieures.
Les auteurs de la menace accèdent aux réseaux de leurs cibles via des e-mails de spearphishing, mais ils ont également été observés en utilisant les exploits Citrix NetScaler CVE-2023-3519, selon SentinelOne.
Après avoir obtenu l’accès, ils se déplacent latéralement à travers le réseau, récoltant et téléchargeant d’abord des fichiers sensibles pour obtenir une rançon, puis déployant des charges utiles de ransomware pour chiffrer les systèmes compromis.
De plus, les fichiers INC-README.TXT et INC-README.HTML sont automatiquement déposés dans chaque dossier contenant des fichiers cryptés.
Les victimes reçoivent un ultimatum de 72 heures pour engager des négociations avec les acteurs menaçants, sous la menace du gang de ransomwares divulguant publiquement toutes les données volées sur leur blog de fuite.
Ceux qui se conforment à la demande de rançon reçoivent également l’assurance qu’ils seront aidés à décrypter leurs fichiers.
De plus, les attaquants s’engagent à fournir des détails sur la méthode d’attaque initiale, des conseils sur la sécurisation de leurs réseaux, des preuves de destruction de données et une « garantie » qu’ils ne seront plus attaqués par les opérateurs d’INC Ransom.