La société Olympus a annoncé avoir été victime d’une attaque par ransomware. Un groupe émergent de ransomware-as-a-service (RaaS) nommé BlackMatter en serait à l’origine.
Le fabricant japonais de matériel médical, d’appareils photographiques et de matériel industriel dit enquêter sur un potentiel « incident de cybersécurité affectant des zones limitées » de son système informatique en Europe, Moyen-Orient et europe (EMEA) qui se serait passé le 8 septembre.
« Dès la détection d’ue cette activité suspecte, nous avons immédiatement mobilisé une équipe d’intervention spécialisée comprenant des experts, et nous travaillons actuellement en toute priorité pour résoudre ce problème. Dans le cadre de l’enquête, nous avons suspendu les transferts de données dans les systèmes impliqués et en avons informé les partenaires externes concernés« , explique Olympus dans un communiqué en ligne. Depuis, il ne s’est plus exprimé officiellement.
Selon le site Techcrunch, le Japonais aurait été victime d’un ransomware attribué au groupe BlackMatter. Qui est ce groupe ? Marcus Fowler, Director of Strategic Threat de Darktrace, indique à Solutions Numériques que « BlackMatter serait un groupe émergent de ransomware-as-a-service, issu de DarkSide, le groupe de hackers responsables de l’attaque de Colonial Pipeline. »
La renaissance d’anciens groupes
En mai dernier, les serveurs de Darkside ont en effet été mis hors service. À la suite de l’attaque Colonial, l’administration Biden avait désigné le ransomware comme une menace pour la sécurité nationale, ce qui avait très probablement entraîné la dissolution de DarkSide. D’autres groupes, comme Maze et Avaddon, ont également fermé leurs portes au printemps dernier face aux opérations conjointes des forces de police et de la justice à l’échelle international. Mais ils reviennent vraisemblablement sous d’autres noms. L’éditeur Bitdefender l’annonçait déjà à l’époque : « Cette bonne nouvelle ne sera probablement que de courte durée, car la concurrence est féroce dans l’espace RaaS et d’autres fournisseurs de RaaS combleront rapidement le vide. Historiquement, à moins que ces extorqueurs ne soient trouvés, poursuivis et emprisonnés, ils réapparaissent quelques mois plus tard sous une nouvelle apparence ».
Marcus Fowler de Darktrace porte la même analyse sur BlackMatter : « Il pourrait s’agir d’une nouvelle tendance, ces groupes de pirates étant plus temporaires pour détourner l’attention du gouvernement d’un groupe particulier. À long terme, cela pourrait rendre encore plus difficile pour la communauté du renseignement et les forces de l’ordre de cibler et de démanteler ces groupes. »
Le 11 septembre, OLympus disait travailler « à déterminer l’ampleur du problème » et continuer « de fournir des mises à jour à mesure que de nouvelles informations seront disponibles. »
