Volue, fournisseur de solutions d’énergie verte basé en Norvège, travaille à la restauration de systèmes après avoir été ciblé par une attaque de ransomware.

Volue propose l’IoT industriel, l’analyse de données et de marché, le trading d’énergie, les logiciels de construction, les logiciels d’optimisation et de trading, la documentation et la gestion des infrastructures de l’eau, et des solutions logicielles de transition et de distribution à plus de 2200 clients dans 44 pays, notamment en Europe. Volue a été créé en 2020 en combinant Powel, Wattsight, Markedskraft et Scanmatic dans un groupe international.

L’attaque a été découverte le 5 mai, lorsque Volue a déclaré que certaines de ses opérations avaient été touchées. La société a fermé les applications concernées et a commencé à travailler sur la restauration des systèmes. Il a déclaré que toutes les données avaient été sauvegardées dans le cloud et que les sauvegardes n’étaient pas affectées par l’attaque.

L’attaque impliquait le célèbre ransomware Ryuk, dont les opérateurs réalisent des bénéfices en demandant une rançon après avoir chiffré les fichiers d’une entreprise. Cependant, ils ne semblent pas exploiter un site Web sur lequel ils divulguent des données volées à des victimes qui refusent de payer, un fait que Volue a souligné à la suite de l’attaque. Il a également noté que les opérateurs de Ryuk ne sont «pas connus pour leurs attaques contre la chaîne d’approvisionnement».

Les sociétés de cybersécurité Digital Shadows et Kaspersky ont confirmé pour SecurityWeek que les opérateurs de Ryuk ne semblent pas exploiter un site Web de fuite. Cependant, Kurt Baumgartner, chercheur principal en sécurité chez Kaspersky, a souligné que cela pouvait changer à tout moment.

Bien qu’il existe des similitudes au niveau du code entre les familles de ransomwares Ryuk et Conti, ils semblent être utilisés par différents groupes de menaces qui ne sont pas connectés, a déclaré Baumgartner. Les opérateurs de Conti gèrent un site Web sur lequel ils divulguent des données volées aux victimes, mais Volue n’y est pas mentionné.

Après la divulgation de l’attaque, Volue a demandé aux clients de se déconnecter de ses serveurs pour «éviter toute nouvelle propagation …