Le fournisseur de services agricoles basé dans l’Iowa, NEW Cooperative Inc. a été touché par une attaque de ransomware, l’obligeant à mettre ses systèmes hors ligne. Le groupe BlackMatter à l’origine de l’attaque a demandé une rançon de 5,9 millions de dollars. La coopérative agricole déclare que l’attaque pourrait avoir un impact significatif sur l’offre publique de céréales, de porc et de poulet si elle ne peut pas remettre ses systèmes en ligne.
BlackMatter dit qu’il ne touche pas « l’infrastructure critique »
Le groupe de ransomware BlackMatter a frappé NEW Cooperative et demande 5,9 millions de dollars pour fournir un décrypteur, selon des captures d’écran partagées en ligne par des analystes de renseignements sur les menaces.
« Votre site Web dit que vous n’attaquez pas les infrastructures critiques. Nous sommes des infrastructures critiques … étroitement liées à la chaîne d’approvisionnement alimentaire aux États-Unis. Si nous ne sommes pas en mesure de nous rétablir très rapidement, il y aura une perturbation très très publique du grain , la chaîne d’approvisionnement du porc et du poulet », semble dire un représentant de la NOUVELLE coopérative à BlackMatter lors d’une discussion de négociation privée.
L’organisation agricole affirme que son logiciel alimente environ 40 pour cent de la production céréalière et des programmes d’alimentation de 11 millions d’animaux de ferme. Et, en tant que tel, les régulateurs du gouvernement fédéral américain comme CISA pourraient bientôt intervenir si les systèmes de la coopérative ne se remettaient pas en ligne bientôt.
BlackMatter #Ransomware groupe vient de rançonner une autre infrastructure alimentaire critique aux États-Unis, la demande de rançon est de 5 900 000 $ pour le moment 🚨
La victime respecte les règles : « @CISAgov va nous demander des réponses dans les 12 prochaines heures » 🧐#BlackMatter pic.twitter.com/Iciet8lhwQ
– DarkFeed (@ ido_cohen2) 20 septembre 2021
BlackMatter a répondu qu’elle n’était pas d’accord avec l’organisation agricole relevant de la catégorie « infrastructure critique ».
Une note vue par Ars sur le site de fuite Tor de BlackMatter indique que le groupe n’attaque pas les hôpitaux, les sociétés pétrolières et gazières, les organisations à but non lucratif et gouvernementales, et ceux du secteur de la défense. Si le groupe crypte accidentellement des ordinateurs appartenant à l’une de ces organisations, les victimes peuvent demander un décrypteur gratuit. Mais, la liste des « installations d’infrastructure critiques » se limite aux centrales électriques et aux installations de traitement des eaux, selon les critères de BlackMatter.
Hache Sharma
Victime travaillant avec des experts en application de la loi et en sécurité
NEW Cooperative déclare avoir informé les forces de l’ordre et engagé des experts en sécurité des données pour enquêter et remédier à la situation.
Entre-temps, les systèmes ont été arrêtés pour contenir l’impact de l’attaque. « NEW Cooperative a récemment identifié un incident de cybersécurité qui a un impact sur certains appareils et systèmes de notre entreprise. Le nouveau porte-parole de la coopérative a déclaré BipOrdinateur.
Ars a également remarqué que le projet SOILMAP de la coopérative est actuellement indisponible. SOILMAP est une solution agronomique logicielle fournissant des fonctionnalités d’analyse de sol, de cartographie et de comptabilité simplifiée pour aider les fournisseurs à améliorer l’efficacité de leur processus de production alimentaire.
Autres conversations partagées par un expert en renseignement sur la cybersécurité Dmitry Smilyanets entre BlackMatter et l’organisation victime montrent la réticence du groupe à trouver une solution avec NEW Cooperative.
« Je ne suis pas [sic] vous menace. C’est à peu près hors de nos mains. Nous ne pouvons pas contrôler ce que font les régulateurs et le gouvernement américain. L’impact de cette attaque sera probablement bien pire que l’attaque du pipeline pour le contexte, et nous n’avons aucun moyen de contrôler cela étant donné les perturbations que cela a déjà causées », a déclaré un représentant de NEW Cooperative aux acteurs de la menace.
Cet incident fait écho à la cyberattaque contre le plus grand transformateur de viande au monde, JBS, qui a contraint l’entreprise à payer une rançon de 11 millions de dollars équivalent à des acteurs de la menace REvil.
BlackMatter a déjà été lié au groupe de ransomware DarkSide qui a attaqué Colonial Pipeline et a disparu par la suite.
« Ce qui est remarquable à propos de l’attaque, c’est l’insistance de l’entreprise sur le fait qu’il s’agit d’une infrastructure critique et qu’elle doit donc être épargnée conformément à la propre politique de BlackMatter. Cependant, les opérateurs derrière BlackMatter ne sont pas d’accord avec cette évaluation et continuent de demander le paiement de la victime », John Shier, conseiller principal en sécurité chez Sophos, a déclaré à Ars. « Cette attaque sera la première à tester le nouvelle politique du gouvernement américain sur le signalement des attaques contre les infrastructures critiques à la CISA et la réponse de l’administration Biden à une telle attaque. »
