Rançongiciel : une cyberattaque qui a coûté 27 millions d’euros

En septembre 2023, Johnson Controls International a subi une attaque de ransomware d’une ampleur considérable, infligée par le groupe Dark Angels, entraînant le vol de 27 téraoctets de données précieuses. L’entreprise s’en remet à peine !

La cyber offensive à l’encontre de Johnson Controls International a contraint l’entreprise à faire face à des demandes de rançon s’élevant à 51 millions de dollars, en échange de la suppression des données dérobées et de la fourniture d’une clé permettant leur récupération.

Selon les déclarations officielles de l’entreprise dans les documents soumis à la Securities and Exchange Commission (SEC) des États-Unis, le coût total de cette cyberattaque a été estimé à 27 millions de dollars. Ce montant englobe non seulement les répercussions directes sur le bénéfice net du dernier trimestre de l’année 2023, mais aussi les pertes de revenus persistantes jusqu’à la fin de l’année fiscale 2023 et au début de l’année 2024, ainsi que les dépenses engagées pour contrer et répondre à cette menace numérique.

Accès non autorisé au réseau de l’entreprise

« L’incident de cybersécurité consistait en un accès non autorisé, une exfiltration de données et le déploiement d’un ransomware par un tiers sur une partie de l’infrastructure informatique interne de la Société. a pu lire ZATAZ dans le document transmis à la SEC. L’incident a provoqué des perturbations et une limitation de l’accès à certaines parties des applications commerciales de la Société prenant en charge certains aspects des opérations et des fonctions d’entreprise de la Société, ces perturbations et limitations se sont poursuivies jusqu’au début du premier trimestre de l’exercice 2024. À ce jour, la Société a restauré le applications et systèmes impactés.« 

L’entreprise anticipe une augmentation des coûts liés à cet incident dans les mois à venir, alors qu’elle poursuit son travail avec des experts en cybersécurité pour évaluer précisément l’étendue des données compromises. Les pirates cachés derriére cette attaque, Dark Angels, ont disparu depuis 2022. Ils ont volé 27 téraoctets de données.

Dark Angles, Babuk, Ragnar, Dunghill, Choung Dong

Cette cyber attaque a utilisé un ransomware, entraînant le blocage et le rançonnage de presque tous les systèmes de la société américaine, y compris les serveurs VMware ESXi, ce qui a eu un impact significatif sur les activités de l’entreprise et de ses filiales.

Johnson Controls est un consortium international employant plus de 100 000 personnes, regroupant des marques telles que York, Tyco, Luxaire, Coleman, Ruskin, Grinnel, et Simplex, spécialisé dans la fabrication de systèmes de contrôle industriel, d’équipements de sécurité et de climatisation.

Dark Angels a nié réutiliser les codes de Ragnar et Babuk. – Capture : zataz.com

L’infiltration dans le réseau d’entreprise a été réalisée via des divisions dans la région asiatique, permettant ensuite aux malveillants d’accéder également au siège social.

Immédiatement après l’attaque, l’entreprise a partiellement désactivé ses systèmes IT, et de nombreuses filiales, dont York, Simplex, et Ruskin, sont passées hors ligne, le portail client de Simplex a cessé de fonctionner, et la production a été arrêtée.

La bande de rançongiciels Dark Angels, responsable de l’incident, était active depuis mai 2022, lorsqu’elle a commencé à cibler ses premières victimes à travers le monde, pratiquant le classique double chantage. Le groupe va changer de nom en avril 2023. Johnson Controls International n’est plus référencé par les pirates. Autant dire que l’entreprise a payé, ou alors à eu beaucoup de chance !