DarkSide attaque la filiale européenne de Toshiba Corporation

Sur la piste de l'attaque réussie menée sur l'infrastructure de Colonial Pipeline qui a abouti à un paiement de rançon de 5 millions de dollars, le groupe d'acteurs menaçants connu sous le nom de DarkSide a exécuté une autre attaque de ransomware. Cette fois, la cible de DarkSide était une subdivision européenne de la société japonaise Toshiba Corporation.

Le 14 mai, Toshiba a publié un article d'information, déclarant que les filiales européennes du groupe Toshiba Tec sont devenues la dernière victime d'une attaque de ransomware et "ont subi des dommages".

Toshiba a débranché les réseaux affectés, pour empêcher la propagation du ransomware et des systèmes fonctionnant entre le vieux continent et le Japon, ainsi que les systèmes inter-européens ont été arrêtés pour minimiser les dommages.

Selon les informations actuelles, les dommages sont limités à plusieurs régions européennes et il n'y a aucune preuve de vol d'informations sur les clients.

Malgré l'assurance qu'aucune information client n'a été divulguée ou volée, l'annonce mentionne que "certaines informations et données peuvent avoir été divulguées". Le groupe responsable de l'attaque est le groupe DarkSide qui a déployé un ransomware sur les systèmes de Colonial Pipeline aux États-Unis et a provoqué une panne majeure d'approvisionnement en carburant qui a duré plusieurs jours.

Le résultat de l'attaque précédente était un paiement de rançon de 5 millions de dollars que Colonial a effectué quelques heures à peine après l'attaque. Malgré le paiement rapide, l'outil de décryptage fourni par les pirates s'est avéré beaucoup trop lent et l'entreprise a rétabli les opérations en utilisant ses propres sauvegardes internes. Toshiba fait actuellement de même, s'efforçant de mettre les réseaux concernés en état de fonctionnement, en utilisant des sauvegardes.

Même si le site Web du groupe DarkSide n'est actuellement pas accessible, ZDNet a signalé qu'une version en cache d'une page publiée par DarkSide montrait que près de 740 gigaoctets de données avaient été exfiltrés des systèmes de Toshiba et incluaient des passeports scannés ainsi que la documentation du projet appartenant à Toshiba.

Il reste à voir si les mauvais acteurs republient ces fichiers. Les groupes de menaces qui utilisent des ransomwares sont récemment passés à un modèle de double extorsion, à la fois en chiffrant les fichiers de la victime et en exfiltrant autant de données sensibles que possible, dans le but de faire davantage chanter la victime et de menacer les fuites de données si les demandes de rançon ne sont pas satisfaites.

DarkSide fonctionne sur un principe de ransomware-as-a-service, octroyant des licences à leurs outils malveillants à des pirates informatiques tiers. Une fois le paiement effectué, les pirates tiers partagent le paiement avec l'acteur menaçant de haut niveau qui exploite et prend en charge le ransomware.

Il y a deux jours, DarkSide se vantait d'avoir déjà attaqué trois autres cibles. Il y a de fortes chances que la succursale européenne de Toshiba ait été la première de ces trois cibles.