Afiq Sam - stock.adobe.com
Ransomware : A10 Networks reconnaît la cyberattaque revendiquée par Play
L’équipementier a été victime, fin janvier, d’une cyberattaque conduite avec le rançongiciel Play. Un premier lot de 5 Go de données compressées a été divulgué. La quantité totale de données volées n’est pas connue.
Le 7 février, A10 Networks informait le gendarme américain des marchés boursiers d’un « incident de cybersécurité dans son infrastructure IT corporate ».
Selon la déclaration, cet incident a été « identifié » le 23 janvier 2023 et n’a concerné « aucun de nos produits ou solutions utilisées par [nos] clients ». Deux jours plus tard, la revendication de l’attaque apparaissait sur le site vitrine de la franchise de ransomware Play.
Dans un billet de blog, A10 Networks assure que la cyberattaque n’a duré qu’un « nombre limité d’heures », sans détailler s’il considère – dans cette durée – celle qui s’est écoulée entre l’intrusion initiale et sa détection, voire la découverte du déclenchement d’un ransomware.
Pour autant, au 15 février, A10 Networks précise que l’enquête, s’appuyant notamment sur l’analyse du trafic réseau, permet de conclure que « la première et dernière activité connue de l’attaquant dans [notre] réseau reste le 23 janvier ».
L’équipementier indique être notamment accompagné dans son enquête par CrowdStrike, des experts tiers en investigation post-mortem, et les autorités américaines.
Toujours au 15 février, A10 indique disposer de preuves montrant que les attaquants ont dérobé « certaines données de lecteurs partagés de l’entreprise utilisés par nos fonctions RH, finances et juridique internes », avant de déployer la charge de chiffrement. Il n’est toujours pas précisé si celle-ci a été déclenchée.
La veille, les opérateurs de la franchise Play ont commencé à divulguer une partie de ces données, pour un volume d’environ 5 Go après compression. Ils ne précisent pas le volume des données effectivement dérobées à A10 Networks mais font état de « documentation technique » et de disent prêts à divulguer l’intégralité de leur butin.
La franchise Play n’en est pas à son coup d’essai, y compris dans le milieu des fournisseurs IT. Fin 2022, l’un de ses affidés s’en était pris à Rackspace. En France, le rançongiciel Play a notamment été utilisé contre le département des Alpes-Maritimes et ITS Group.
Pour approfondir sur Menaces, Ransomwares, DDoS
-
Ransomware : un mois de juin marqué par le silence de LockBit 3.0
-
Coup dur pour LockBit 3.0 : le FBI trouve 7 000 clés de déchiffrement
-
LockBit : l’opération Cronos montre que le ransomware ne paie pas pour beaucoup de cybercriminels
-
LockBit : comment la franchise essaie de mettre en scène un retour