La société céréalière NEW Cooperative Inc., basée dans l'Iowa, a été touchée par une attaque de ransomware, forçant l'entreprise à fermer son système pour contrer l'attaque. Le groupe BlackMatter à l'origine de l'attaque a exigé la rançon de 5,9 millions de dollars, concernant le public car cela pourrait affecter la chaîne d'approvisionnement aux États-Unis, provoquant une pénurie alimentaire potentielle.
NEW Cooperative a confirmé avoir été touchée et a déclaré être en contact avec les forces de l'ordre pour remédier à la situation le plus rapidement possible avant qu'elle n'affecte la chaîne d'approvisionnement.
Détails de l'attaque BlackMatter Ransomware
Le groupe de rançongiciels BlackMatter demande 5,9 millions de dollars à NEW Cooperative, selon une capture d'écran partagée en ligne par des analystes des menaces. Dans une discussion de négociation privée d'un représentant de NEW Cooperative avec BlackMatter, le gang dit qu'ils n'ont pas touché l'infrastructure critique. Le représentant de la NOUVELLE coopérative a ajouté :
"Votre site Web indique que vous n'attaquez pas les infrastructures critiques. Nous sommes une infrastructure essentielle… nous sommes étroitement liés à la chaîne d'approvisionnement alimentaire aux États-Unis. Si nous ne sommes pas en mesure de récupérer très rapidement, il y aura une très très grande perturbation publique de la chaîne d'approvisionnement en céréales, en porc et en poulet. Environ 40 % de la production céréalière s'exécute sur notre logiciel… cela va rompre la chaîne d'approvisionnement très prochainement…"
Le représentant a en outre déclaré que s'ils ne résolvaient pas ce problème rapidement et que cela perturbait la chaîne d'approvisionnement, la CISA devra intervenir si les systèmes de NEW Cooperative ne sont pas mis en ligne.
BlackMatter a répondu que les entreprises agricoles n'entrent pas dans la catégorie des «infrastructures critiques». Ars Technica a remarqué sur le site Web de BlackMatter's Tor leak que le groupe n'attaque pas les hôpitaux, l'industrie pétrolière, gazière, l'industrie de la défense, les organisations à but non lucratif, les secteurs gouvernementaux et les "infrastructures critiques". Ces industries comprennent les centrales nucléaires, les installations de traitement de l'eau et les centrales électriques.
Le gang de rançongiciels BlackMatter affirme qu'il n'attaque pas les infrastructures critiques (Ars Technica)
« Je ne te menace pas. C'est à peu près hors de nos mains. Nous ne pouvons pas contrôler ce que [font] les régulateurs et le gouvernement américain. L'impact de cette attaque sera probablement bien pire que l'attaque du pipeline pour le contexte, et nous n'avons aucun moyen de contrôler cela étant donné les perturbations que cela a déjà causées », a déclaré une NOUVELLE coopérative. Le représentant d'Inc a déclaré au gang des rançongiciels.
Ars Technica a également remarqué que le projet SOILMAP de l'entreprise est également indisponible depuis l'attaque. SOILMAP est une solution logicielle qui offre diverses fonctionnalités telles que les analyses de sol, la cartographie et la comptabilité des fournisseurs pour rationaliser le processus.
Les acteurs de la menace ont également affirmé avoir volé le code source du projet SOILMAP, des informations sur les employés, des documents financiers et des résultats de R&D.
Page de fuite de données non publique du projet SOILMAP de NEW Cooperative (Bleepingcomputers)
Gang de rançongiciels BlackMatter
BlackMatter est apparu juste après Darkside, et les gangs de rançongiciels REvil ont disparu en juillet après des cyberattaques sur Kaseya et Colonial Pipeline. Jake Williams, co-fondateur de BreachQuest, déclare :
« BlackMatter semble être un spin-off du groupe REvil et a activement recruté pour les premiers accès aux réseaux de victimes ces derniers mois. Bien que le groupe affirme qu'il ne ciblera pas les "installations d'infrastructures critiques", la définition que le groupe utilise dans son blog est différente de la définition du gouvernement américain des infrastructures critiques, qui inclurait NEW Cooperative".
Fait intéressant, cette attaque contre NEW Cooperative est intervenue après la rencontre du président Biden avec les PDG des géants de la technologie et sa déclaration publique concernant les cybercriminels basés en Russie qui nuisent à l'infrastructure américaine. S'il s'agit vraiment d'une réponse à l'avertissement du président Biden, cela pourrait n'être que le début d'une série d'attaques à venir.
Il s'agissait de la deuxième attaque de ce gang en septembre, alors que BlackMatter attaquait Olympus, un géant japonais de la technologie, le 8 septembre. Emisoft a également enregistré plus de 40 attaques de ransomwares liées à cet acteur menaçant.
Les attaques de ransomwares n'ont cessé d'augmenter, les organisations américaines étant la cible principale des criminels. Au cours du mois dernier, T-Mobile et AT&T ont également été confrontés à des attaques de ransomwares. Cette attaque contre NEW Cooperative est très similaire à l'attaque par ransomware de REvil contre JBS, le plus grand transformateur de viande au monde, obligeant l'entreprise à payer une rançon de 11 millions de dollars.
Hank Schless, Senior Manager chez Lookout, une société californienne de sécurité endpoint-to-cloud, déclare :
«Cela devrait servir de signal d'alarme à chaque organisation dont ils ont besoin pour prendre des mesures pour se protéger. Les déclarations du président sur ces types d'attaques ont fait un travail fantastique pour transmettre l'importance de la cybersécurité, mais il appartient aux organisations de traduire ces mots en actions et de renforcer leurs défenses.