Julien
La brasserie de Portland et la chaîne hôtelière McMenamins ont subi une attaque de ransomware Conti au cours du week-end qui a perturbé les opérations de l’entreprise.
McMenamins est une chaîne populaire de restaurants, de pubs, de brasseries et d’hôtels situés dans l’Oregon et à Washington.
L’attaque de ransomware s’est produite au cours du week-end du 12 décembre, des sources ayant déclaré à EZpublish-france.fr que le gang Conti l’avait menée.
Les serveurs et les postes de travail ont été cryptés dans le cadre de l’attaque, y compris les systèmes de point de vente.
Bien que l’attaque n’ait pas entraîné la fermeture de sites, McMenamins a été contraint de fermer ses systèmes informatiques, ses systèmes de point de vente de cartes de crédit et sa messagerie d’entreprise pour empêcher la propagation de l’attaque.
Après que EZpublish-france.fr ait envoyé un e-mail à McMenamins, ils ont publié une déclaration plus tard dans la nuit confirmant qu’ils avaient été touchés par un ransomware et travaillaient avec le FBI et une entreprise de cybersécurité tierce pour enquêter sur l’attaque.
« McMenamins a annoncé aujourd’hui avoir été victime d’une attaque de ransomware, qui a été identifiée et bloquée le 12 décembre. À l’heure actuelle, il semble qu’aucune donnée de paiement client n’ait été affectée lorsque les cybercriminels ont déployé un logiciel malveillant qui a verrouillé les systèmes de l’entreprise et empêché l’accès L’entreprise familiale a signalé l’incident au FBI et travaille également avec une entreprise de cybersécurité pour identifier la source et l’étendue de l’attaque.
Il est possible que les données internes des employés aient été compromises, bien que l’on ne sache pas actuellement si tel est le cas. Les catégories suivantes d’informations sur les employés ont été potentiellement affectées : noms, adresses, adresses e-mail, numéros de téléphone, dates de naissance, numéros de sécurité sociale, informations de compte bancaire de dépôt direct et dossiers d’avantages sociaux. Pour offrir aux employés la tranquillité d’esprit, McMenamins offrira aux employés des services de protection d’identité et de crédit, ainsi qu’une ligne d’assistance dédiée via Experian. Les gestionnaires fourniront ces informations aux employés directement. » – McMenamins.
Comme les scanners de cartes de crédit ont été mis hors ligne, McMenamins est contraint de modifier son traitement des paiements à certains endroits. Malheureusement, ces changements empêchent également les clients d’acheter ou d’utiliser des cartes-cadeaux.
Bien que notre source ait déclaré que les données et les documents de l’entreprise semblaient avoir été volés lors de l’attaque, on ne sait pas si les données des clients ont été incluses. McMenamins affirme que leur enquête initiale n’indique pas que les informations des clients ont été compromises car elles ont été gérées, collectées et stockées par une société de traitement des paiements tierce.
Cependant, comme les pirates ont probablement eu accès au réseau de l’entreprise pendant un certain temps, il est possible que les acteurs malveillants aient installé des logiciels malveillants sur les points de vente pour voler des cartes de crédit, comme cela a été fait lors d’attaques de ransomware précédentes.
On ne saura pas si cela s’est produit avant que la société de cybersécurité tierce ait terminé son enquête.
Qui est Conti ?
Conti ransomware est une opération de ransomware qui serait dirigée par un groupe de piratage basé en Russie connu pour d’autres infections de logiciels malveillants notoires, telles que TrickBot.
Le gang de ransomware accède généralement à un réseau via des infections de logiciels malveillants BazarLoader ou TrickBot installées via des attaques de phishing ou par les acteurs de la menace exploitant les vulnérabilités des appareils exposés à Internet, tels que les VPN ou les pare-feu.
Une fois que les attaques auront accès à un système interne, elles se propageront sur le réseau, voleront des données et déploieront leur ransomware.
Conti est considéré comme une opération de ransomware de premier plan qui a déjà violé des organisations de premier plan, telles que le Health Service Executive (HSE) et le Department of Health (DoH) d’Irlande, la ville de Tulsa, les écoles publiques du comté de Broward, FatFace, Advantech et Sangoma.
En raison de l’activité accrue du groupe de cybercriminalité, le gouvernement américain a récemment lancé un avertissement aux entreprises concernant l’augmentation du nombre d’attaques de ransomware Conti.