Lana - stock.adobe.com

Alphv/BlackCat revendique une cyberattaque contre Unisys

Pendant moins d’une heure, la franchise de ransomware a assuré avoir eu accès aux entrepôts de code source de tous les produits logiciels d’Unisys, en particulier la suite Sealth Security. Et d’accuser le RSSI de chercher à cacher la brèche.

La franchise mafieuse Alphv, aussi appelée BlackCat, a brièvement revendiqué, ce 3 août 2022, une cyberattaque contre Unisys. Elle a été supprimée après moins d’une heure.

Les opérateurs d’Alphv assuraient avoir eu accès à « tous les entrepôts de code source de tous produits, y compris le code source complet de Stealth Security ». De quoi permettre, selon les cybercriminels, de « déployer des agents, des serveurs, d’utiliser l’API, etc. ». Des captures d’écran de code source venaient étayer leurs propos. L’une d’entre elles pourrait avoir été liée à la solution Stealth(identity) SaaS, voire à son client mobile uAuthenticator.

La gamme Stealth d’Unisys recouvre notamment des solutions de microsegmentation basée sur l’identité et plus généralement d’accès réseau sans confiance (ZTNA), d’authentification à facteurs multiples (MFA), y compris pour les environnements de cloud hybride.

Nous avons sollicité la direction de la communication d’Unisys et nous ne manquerons pas de mettre à jour cet article lorsque ses commentaires nous parviendront.

La franchise de rançongiciel Alphv a daté sa revendication au 28 juillet. Mais il est difficile d’imaginer que sa publication, même brève, en ce 3 août, soit l’effet d’une simple coïncidence : Unisys doit publier aujourd’hui même ses résultats trimestriels et a prévu une conférence de presse, à leur sujet, pour demain, 4 août.

Capture d'écran d'un extrait de la revendication d'Alphv/BlackCat contre Unisys.
Extrait de la revendication d'Alphv/BlackCat contre Unisys.

L’ironie n’échappera à personne : le site Web des solutions Stealth d’Unisys souligne que « les cybercriminels vous frappent là où ça fait mal ». Dans le cas présent, ce pourrait être « là où et quand ça fait mal ».

La potentielle compromission de code source fermé rappelle d’autres cyberattaques, à l’instar de Solarwinds, mais également, dans le domaine simplement crapuleux, Exagrid, qui avait été attaqué par le groupe Conti.

C’est tout début décembre que le collectif MalwareHunterTeam et Recorded Future ont découvert le ransomware BlackCat. Les équipes du second ont relevé des annonces de recrutement d’affidés sur deux forums régulièrement fréquentés par les cyberdélinquants. AdvIntel estime que des affidés de feu la franchise Conti travaillent désormais sous la bannière d’Alphv/BlackCat.

Pour approfondir sur Menaces, Ransomwares, DDoS