Ransomware: Les San Francisco 49ers touchés

À quelques heures avant le coup d’envoi du Super Bowl, les San Francisco 49ers confirmaient être infectés. Des lignes de code malveillantes issues des opérateurs derrière le ransomware BlackByte, atteignaient des systèmes d’information. Le match qui mettait en présence les Rams de Los Angeles, champions de la National Football Conference (AFC), et les Bengals de Cincinnati, champions de l’American Football Conference (AFC). Les Rams gagnaient leur second titre depuis la création de la franchise en 1937, tandis que les 49ers officialisaient l’enquête sur leur réseau informatique.

Les quintuples vainqueurs du trophée majeur annonçaient, samedi 12 février 2022 être infectés par le ransomware Blackbyte. Les opérateurs derrière le Ransomware-a-as-Service (RaaS) publiaient des documents de l’équipe sur un site de fuite sur le Darknet, au sein d’un fichier intitulé « 2020 Invoices ». Ils étaient passés tout près d’une qualification pour le Super Bowl. Au début du dernier quart-temps, les 49ers avaient une avance de 17-7 sur les Los Angeles Rams. Dans le money time, les visiteurs s’offraient une double récompense en remportant la victoire 20-17 ainsi qu’un ticket pour la finale à domicile.

L’équipe, qui fait partie des franchises les plus précieuses et les plus historiques de la NFL déclarait dans un communiqué avoir récemment pris connaissance d’un « incident de sécurité du réseau » qui avait perturbé certains de ses systèmes informatiques. « À ce jour, nous n’avons aucune indication que cet incident implique des systèmes en dehors de notre réseau d’entreprise, tels que ceux liés aux opérations du Levi’s Stadium ou aux détenteurs de billets. Pendant que l’enquête se poursuit, nous travaillons avec diligence pour restaurer les systèmes concernés aussi rapidement et aussi sûrement que possible », affirmait la franchise.

Les forces de l’ordre annonçaient qu’ « en date du 20 novembre 2021, le ransomware BlackByte avait compromis de multiples entreprises américaines et étrangères, y compris des entités dans au moins trois secteurs d’infrastructures critiques américaines (installations gouvernementales, financières, et alimentaires et agricoles). BlackByte est un groupe de ransomware as a Service (RaaS) qui chiffre les fichiers sur les systèmes hôtes Windows compromis, y compris les serveurs physiques et virtuels », a communiqué le FBI. Selon Brett Callow, expert en ransomware chez Emsisoft, « comme de multiples autres types de ransomware, Blackbyte ne chiffre pas les ordinateurs qui utilisent les langues de la Russie et des pays post-soviétiques ». Une analyse du RaaS par Red Canary a révélé que les opérateurs ont exploité les vulnérabilités ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) présentes sur le serveur Microsoft Exchange d’un client.