CWT crache plus de 400 BTC dans une attaque brutale de ransomware

Les attaquants de ransomware terrorisent les entreprises et les individus depuis longtemps. Cette semaine, ils semblent avoir frappé à nouveau l’or. Cette fois, il s’agit de CWT, une agence américaine de voyages d’affaires. Selon un rapport de Reuters, la société a versé des millions de demandes de rançon aux attaquants, car elle cherchait à limiter les temps d’arrêt.

Une relation cordiale pirate-victime

Comme l’explique le rapport, la société, connue sous le nom de Carlson Wagonlit Travel, a payé 414 BTC (d’une valeur d’environ 4,5 millions de dollars à l’époque) le 27 juillet sur deux transactions. Les données d’analyse de la blockchain montrent que les pirates ont immédiatement transféré les fonds sur un compte séparé. Selon le rapport, les attaquants ont affirmé avoir utilisé le ransomware Ragnar Locker pour verrouiller les responsables de l’entreprise à partir de fichiers sur environ 30 000 ordinateurs. Dans le même temps, ils ont également volé des données sensibles à l’entreprise.

Alors qu’ils avaient initialement demandé 10 millions de dollars, ils ont accepté moins de la moitié de leur demande après que le représentant d’une entreprise a affirmé que les finances de l’entreprise avaient été touchées pendant la pandémie. Le représentant a finalement réussi à convaincre les hackers.

Mieux encore, les pirates ont donné au représentant de Bitcoin Code quelques conseils sur la façon dont ils pourraient améliorer leurs mesures de sécurité. Les enregistrements de chat montrent que les pirates ont recommandé de mettre à jour leurs mots de passe chaque mois, de vérifier leurs privilèges d’utilisateur et d’avoir au moins trois administrateurs réseau au travail à tout moment.

«C’est un plaisir de travailler avec des professionnels», ont conclu les pirates informatiques avec CWT.

La route intrigante de Garmin vers la récupération

Les attaques de ransomwares ont été particulièrement répandues dans l’industrie technologique. Les entreprises sont en état d’alerte depuis le début de la pandémie, la plupart d’entre elles devant davantage s’appuyer sur Internet pour leurs opérations.

La semaine dernière, un responsable de la société multinationale de technologie Garmin a déclaré à Bleeping Computer que le réseau de l’entreprise avait été victime d’une attaque avec le ransomware WastedLocker. Le ransomware est un produit du célèbre groupe de ransomwares REvil.

Le responsable de la société a expliqué que les services d’assistance, les solutions de navigation et d’autres opérations de base de Garmin avaient été affectés. REvil a demandé une amende de 10 millions de dollars – comme les attaquants de CWT – à payer en crypto-monnaies. Garmin a finalement admis les problèmes dans un communiqué de presse officiel . Cependant, contrairement à Bleeping Computer, il n’est pas entré dans beaucoup de détails.

Il convient de noter que les services de Garmin sont de retour. Le tweet le plus récent de la société affirmait que de nombreux systèmes affectés par le piratage étaient de nouveau opérationnels. Cependant, il s’agit désormais de savoir ce que la firme avait fait pour récupérer ses services.

Evil Corp, la société derrière le ransomware REvil, est dans des eaux inconnues. Le chef de la société, un Russe du nom de Maskim Yakubets, fait face à une mise en accusation du ministère américain de la Justice. Il est également répertorié comme l’un des hommes les plus recherchés du FBI, avec une récompense de 5 millions de dollars pour sa découverte.

La liste du FBI affirme que Yakubets est recherché pour son implication dans une opération malveillante qui a affecté des milliers d’ordinateurs en Europe et en Amérique du Nord. Étant donné que les entreprises américaines ne peuvent pas faire affaire avec des personnes et des organisations sanctionnées, il vaut la peine de se demander comment l’entreprise a réussi à se remettre en ligne.