Les 49ers de San Francisco confirment qu'ils ont été attaqués quelques heures avant le coup d'envoi du Super Bowl. Le gang de rançongiciels BlackByte revendique la responsabilité.
Dans un communiqué officiel, l'équipe a déclaré, "elle a récemment pris connaissance d'un incident de sécurité réseau" qui a provoqué une perturbation de leur réseau d'entreprise. Le groupe a volé les documents financiers de l'équipe.
Le porte-parole des 49ers de San Francisco a déclaré qu'après avoir appris la cyberattaque, des sociétés de cybersécurité tierces ont été impliquées pour contenir l'attaque, et les forces de l'ordre ont également été informées.
"Alors que l'enquête est en cours, nous pensons que l'incident est limité à notre réseau informatique d'entreprise, à ce jour, nous n'avons aucune indication que cet incident implique des systèmes extérieurs à notre réseau d'entreprise, tels que ceux connectés aux opérations des détenteurs de billets du Levi's Stadium. Alors que l'enquête se poursuit, nous travaillons avec diligence pour restaurer les systèmes impliqués aussi rapidement et en toute sécurité que possible », a déclaré le porte-parole des 49ers de San Francisco.
Après l'incident, les 49ers de San Francisco se sont également présentés dimanche sur le site du gang de rançongiciels BlackByte. Le groupe a publié des documents volés de l'équipe sur le dark web dans un fichier nommé "2020 Invoices". Le gang des rançongiciels n'a fait aucune demande de rançongiciel et n'a pas précisé la quantité de données volées.
Les 49ers de San Francisco se sont présentés sur le site officiel des fuites de BlackByte. (Image : ZDNet)
L'attaque contre les 49ers de San Francisco est survenue un jour après l' avertissement du FBI concernant le gang de rançongiciels BlackByte. Selon l'avertissement du FBI :
« En novembre 2021, le rançongiciel BlackByte avait compromis plusieurs entreprises américaines et étrangères, y compris des entités dans au moins trois secteurs d'infrastructures critiques aux États-Unis (installations gouvernementales, financières, et agro-alimentaires). BlackByte est un groupe Ransomware as a Service (RaaS) qui crypte les fichiers sur les systèmes hôtes Windows compromis, y compris les serveurs physiques et virtuels.
Selon le rapport du FBI, les acteurs de la menace utilisent les vulnérabilités de Microsoft Exchange pour accéder aux réseaux. Une fois qu'ils ont accès au réseau, les pirates peuvent déployer divers outils pour se déplacer sur le réseau afin «d' augmenter les privilèges avant de chiffrer les fichiers ». Dans quelques incidents, le groupe de rançongiciels BlackByte n'a que des fichiers partiellement cryptés.
Un rapport de Red Canary a montré que le rançongiciel BlackByte avait accédé au réseau en exploitant les vulnérabilités ProxyShell sur le serveur Microsoft Exchange d'un client. Ces vulnérabilités incluent CVE-2021-34473, CVE-2021-34523, CVE-2021-31207.
Le groupe de rançongiciels BlackByte a émergé l'année dernière avec des cibles de premier plan à travers les États-Unis. Les recherches de Trustwave ont montré que le rançongiciel BlackByte utilise la même clé pour chiffrer les fichiers volés dans AES. Au lieu d'utiliser une clé unique pour chaque session, le groupe utilise la même clé. Trustwave a également téléchargé un décrypteur BlackByte sur GitHub.
Selon le FBI, la deuxième version du ransomware a été publiée en novembre. Brett Callow, l'expert en ransomware d'Emsisoft, a déclaré que BlackByte est une opération de Ransomware-as-a-service (RaaS), et que les acteurs de la menace qui l'utilisent pour mener des cyberattaques ne sont pas nécessairement casés dans le même pays.
Callow a déclaré que, comme d'autres types de rançongiciels, " BlackByte ne crypte pas les ordinateurs qui utilisent la langue de la Russie et des pays post-soviétiques ". Il a dit que cela ne signifie pas que les attaquants derrière cet incident sont en Russie. «N'importe qui peut utiliser le logiciel malveillant pour lancer des attaques », explique Callow.
Les groupes de rançongiciels ont fait des ravages au cours des derniers mois avec des cibles de premier plan. Certains cas très médiatisés ce mois-ci incluent l' attaque de Vodafone Portugal et la cyberattaque contre les ports belges et néerlandais.