Un avis conjoint publié par la Cybersecurity and Infrastructure Security Agency (CISA), le Federal Bureau of Investigation (FBI) et la National Security Agency (NSA) a averti que le groupe de ransomware BlackMatter a ciblé « plusieurs » organisations considérées comme des infrastructures critiques, dont deux organisations du secteur de l’alimentation et de l’agriculture aux États-Unis.

Les agences n’ont pas nommé ni nommé les victimes, mais Iowa New Cooperative, un fournisseur de services agricoles basé dans l’Iowa, a été touché le mois dernier par une attaque de ransomware qui a vu des pirates exiger une rançon de 5,9 millions de dollars pour déverrouiller leurs systèmes. L’attaque a été suivie d’une attaque similaire contre Crystal Valley, une coopérative d’approvisionnement agricole et de commercialisation des céréales basée au Minnesota.

L’avis donne un aperçu de la menace BlackMatter, de ses tactiques (qui incluent l’effacement des magasins de données de sauvegarde et des appliances, plutôt que de les chiffrer), les signatures de détection et les meilleures pratiques d’atténuation. Cela donne également du crédit à la croyance plus large que BlackMatter pourrait être un « changement de marque possible » de l’opération de ransomware DarkSide, aujourd’hui disparue, qui, selon le FBI, était à l’origine de l’attaque contre Colonial Pipeline.

BlackMatter fournit un ransomware-as-a-service (RaaS) qui permet à d’autres groupes de louer son infrastructure et de prendre une part de la rançon si une victime paie. L’avis note que les demandes de rançon de BlackMatter allaient de 80 000 $ à 15 millions de dollars en crypto-monnaie.

L’avis exhorte les organisations, en particulier celles des infrastructures critiques, à renforcer les défenses de cybersécurité et à suivre les meilleures pratiques de sécurité, y compris l’utilisation de mots de passe forts et l’authentification multifacteur. Les trois agences recommandent également de maintenir tous les systèmes d’exploitation à jour, d’utiliser un pare-feu basé sur l’hôte et de s’assurer que toutes les données de sauvegarde sont cryptées.

Les agences exhortent également toute organisation touchée par une attaque de ransomware à la signaler immédiatement et à refuser de payer les demandes de rançon des pirates.

« Payer une rançon peut enhardir…