Synoptek, une entreprise californienne qui fournit des services d’hébergement cloud et de gestion informatique à plus d’un millier de clients dans tout le pays, a subi cette semaine une attaque de ransomware qui a perturbé les opérations de bon nombre de ses clients, selon des sources. La société aurait payé une demande de rançon dans le but de rétablir les opérations le plus rapidement possible.
Synoptek, basé à Irvine, en Californie, est un fournisseur de services gérés qui gère une variété de services basés sur le cloud pour plus de 1 100 clients à travers un large éventail d’industries, y compris les gouvernements étatiques et locaux, les services financiers, les soins de santé, la fabrication, les médias, la vente au détail et les logiciels. L’entreprise compte près d’un millier d’employés et a rapporté plus de 100 millions de dollars de revenus l’année dernière, selon leur site Web.

Un Tweet maintenant supprimé de Synoptek le 20 décembre a mis en garde contre les dangers des cyberattaques basées sur le phishing, moins de trois jours avant leur infestation de ransomware Sodinokibi (apparemment basée sur le phishing).
Nouvelles de l’incident fait surface pour la première fois sur Reddit, qui s’est illuminé la veille de Noël avec des messages de personnes travaillant dans des entreprises touchées par la panne. La seule déclaration officielle concernant tout type d’incident est venue tard vendredi soir de la part de l’entreprise Gazouillementqui a déclaré que le 23 décembre, il avait subi un « compromis d’identification qui a été contenu » et que Synoptek « a pris des mesures immédiates et a travaillé avec diligence avec les clients pour remédier à la situation ».
Synoptek n’a pas encore répondu aux multiples demandes de commentaires. Mais deux sources qui travaillent dans l’entreprise ont maintenant confirmé que leur employeur avait été touché par Sodinokibi, une puissante souche de ransomware également connue sous le nom de « rEvil » qui crypte les données et exige un paiement en crypto-monnaie en échange d’une clé numérique qui déverrouille l’accès aux systèmes infectés. Ces sources affirment également que la société a payé à ses extorqueurs une somme non vérifiée en échange de clés de déchiffrement.
Des sources confirment également que l’État de Californie et le département américain de la Sécurité intérieure ont contacté les entités étatiques et locales potentiellement touchées par l’attaque. Un client de Synoptek informé de l’attaque qui a demandé à rester anonyme a déclaré qu’une fois à l’intérieur des systèmes de Synoptek, les intrus ont utilisé un outil de gestion à distance pour installer le ransomware sur les systèmes clients.
Tout comme d’autres gangs de rançongiciels opérant aujourd’hui, les escrocs derrière Sodiniokibi semblent se concentrer sur le ciblage des fournisseurs informatiques. Et il n’est pas difficile de comprendre pourquoi : à chaque jour d’attaque, les clients touchés expriment leur colère et leur frustration sur les réseaux sociaux, ce qui exerce une pression accrue sur le fournisseur pour qu’il paie simplement.
Une attaque de Sodinokibi au début du mois contre une société de services informatiques basée au Colorado Solutions technologiques complètes a entraîné l’installation de rançongiciels sur les ordinateurs de plus de 100 cabinets dentaires qui dépendaient de l’entreprise. En août, le fournisseur informatique PerCSoft, basé au Wisconsin, a été frappé par Sodinokibi, provoquant des pannes pour plus de 400 clients.
Pour mettre une pression supplémentaire sur les victimes pour qu’elles négocient le paiement, les fournisseurs de Sodinokibi ont récemment déclaré qu’ils prévoyaient de publier les données volées aux entreprises infectées par leurs logiciels malveillants qui choisissent de reconstruire leurs opérations au lieu de payer la rançon.
De plus, le groupe à l’origine du Labyrinthe Ransomware La souche de logiciels malveillants a récemment commencé à donner suite à une menace similaire, en érigeant un site sur l’Internet public qui répertorie les victimes par nom et comprend des échantillons de documents sensibles volés aux victimes qui ont choisi de ne pas payer. Lorsque le site a été créé pour la première fois le 14 décembre, il ne répertoriait que huit victimes ; à ce jour, il y a plus de deux douzaines d’entreprises nommées.