Les entités du secteur public telles que les gouvernements des comtés et le département de la santé de l’État figuraient parmi les organisations les plus importantes victimes d’attaques de ransomware en juillet.
Les ransomwares sont souvent une priorité en matière de sécurité. Le mois dernier a été une exception étant donné la panne informatique mondiale résultant d’une mise à jour erronée du fichier de chaîne CrowdStrike qui a commencé le 19 juillet et a perturbé des secteurs majeurs, tels que les transports et la santé, pendant plusieurs jours. Cela dit, les cyberattaques fondées sur l’extorsion n’ont abouti à rien.
Une cyberattaque du mois dernier a apparemment vu l’extorsion et la panne de CrowdStrike se croiser. Le comté de Jefferson, Kan., a déclaré dans une alerte civique que la panne de CrowdStrike avait perturbé les services, notamment la possibilité d’accéder au système de permis de conduire du Kansas. Le bureau du greffier du comté de Jefferson a confirmé aux chaînes d’information télévisées locales, telles que WHAS11 d’ABC, que les acteurs malveillants avaient apparemment envoyé une note d’extorsion au bureau du greffier, affirmant avoir volé des données. Bien que le comté ait initialement pensé que les acteurs malveillants utilisaient la panne comme couverture pour revendiquer une attaque contre le comté, une enquête ultérieure a révélé que des données avaient été volées.
Dans le même ordre d’idées, la CISA a déclaré dans une alerte du 19 juillet qu’elle avait vu des acteurs malveillants profiter de la panne pour des activités comprenant, mais sans s’y limiter, du phishing. CrowdStrike a également observé une telle activité ; dans un article de blog du 24 juillet, le fournisseur de cybersécurité a averti que des domaines de phishing se faisant passer pour des liens de support CrowdStrike légitimes étaient utilisés par des acteurs malveillants pour diffuser un voleur d’informations connu sous le nom de Lumma.
Quant aux attaques de ransomwares plus traditionnelles, le fournisseur de sécurité Check Point Software Technologies a déclaré que RansomHub était le groupe de ransomwares le plus répandu en juillet, responsable de 11 % de toutes les attaques publiées. Notamment, LockBit était le deuxième plus répandu, avec 8 % de la part totale.
RansomHub a publié début juillet des données liées à une attaque contre le ministère de la Santé de Floride (DOH) sur son site de fuite du Dark Web. Les données semblaient inclure des données à fort impact telles que des résultats de tests sensibles, des dossiers d’employés, etc. De plus, la panne a apparemment provoqué d’importantes interruptions de service pour les organismes de santé et les salons funéraires depuis l’attaque survenue fin juin. Bien qu’il existe peu d’informations publiques provenant du département lui-même, les agences de presse locales, telles que WFTV9, ont déclaré que le ministère de la Santé leur avait confirmé une attaque.
Par ailleurs, le comté de Clay, dans l’Indiana, a déposé une déclaration de catastrophe locale à la suite d’une attaque de ransomware qui semble avoir commencé vers minuit le 9 juillet. L’attaque a provoqué d’importantes perturbations dans les services du tribunal et du greffe du comté de Clay, bien que tous les services semblent être interrompus. retour au fonctionnement normal.
Selon un communiqué de presse diffusé par un média local Le temps du Brésill’attaque s’est produite à la suite d’une attaque similaire subie par le comté de Monroe, dans l’Indiana, la semaine précédente, et que l’attaque visant Monroe impliquait un « syndicat de cybercriminalité lié à la Russie ». Peu de temps après, Clay County a attribué l’attaque à Blacksuit Ransomware, une nouvelle marque du ransomware Royal qui a elle-même été fondée à partir des restes du gang Conti.
Les organisations du secteur privé n’étaient en aucun cas à l’abri des attaques. Bassett Furniture a déposé un 8-K auprès de la SEC le 15 juillet, révélant une cyberattaque qui a commencé le 10 juillet et confirmant pratiquement la présence d’un ransomware.
“Le 10 juillet 2024, Bassett Furniture Industries, Incorporated (la “Société”) a détecté des événements non autorisés sur une partie de ses systèmes informatiques”, indique le dossier. « Après avoir détecté les événements non autorisés, la société a immédiatement commencé à prendre des mesures pour contenir, évaluer et remédier à l’incident, notamment en ouvrant une enquête, en activant son plan de réponse aux incidents et en arrêtant certains systèmes. L’acteur malveillant a perturbé les opérations commerciales de la société en chiffrant certains fichiers de données.”
Bassett Furniture a affirmé dans son dossier qu’en raison des mesures de confinement suite à l’attaque, l’exécution des commandes avait été perturbée et les installations de fabrication avaient été temporairement fermées.
Alexander Culafi est rédacteur principal de nouvelles sur la sécurité de l’information et animateur de podcast pour TechTarget Editorial.
