TAG Aviation est un nom bien connu dans le domaine de l'aviation d'affaires et de luxe. Basée à l'aéroport de Genève, l'entreprise est active, selon ses propres indications, sur treize sites en Europe et en Asie et «s'enorgueillit d'un service international qui n'a pas son pareil dans le monde».
Un coup d'œil sur le site web de l'entreprise montre des clients prestigieux, comme la légende du tennis suédois Björn Borg, Alain Delon ou encore Brigitte Bardot.
Actuellement, l'entreprise spécialisée dans les vols d'affaires est confrontée à une attaque de pirates informatiques aux conséquences potentiellement dévastatrices. Sur demande, elle confirme les recherches effectuées par watson.
Le 21 mai, le système de détection d'intrusion (IDS) aurait détecté une tentative d'accès non autorisé au réseau. Par la suite, certains systèmes informatiques auraient été touchés par une attaque de ransomware, c'est-à-dire de chiffrement.
Parallèlement, les responsables tentent de relativiser la gravité de la cyberattaque. L'«incident de sécurité informatique» se limite «à l'Asie». Des contre-mesures ont été prises immédiatement et un service spécialisé dans la cybersécurité a été mandaté. Ce partenaire externe a mené «une enquête médico-légale sur l'incident et les données concernées».
De plus, des mesures de sécurité supplémentaires ont été prises pour protéger le réseau contre de futures attaques, peut-on lire dans la déclaration.
Une autre phrase de la déclaration transmise par e-mail attire l'attention:
En réalité, des cybercriminels inconnus ont publié sur le darknet plusieurs captures d'écran censées montrer des passeports et d'autres données internes ou confidentielles.
Par ailleurs, les malfaiteurs ont confirmé s'être emparés d'une très grande quantité de données, soit plusieurs téraoctets (To).
Interrogé à ce sujet, un porte-parole de l'entreprise a réaffirmé que TAG Aviation Europe n'était pas concerné.
L'affaire est particulière dans la mesure où les cybercriminels à l'origine du piratage et du vol présumé de données ne se sont pas identifiés dans un premier temps.
Or, plus tard, TAG Aviation a confirmé les recherches de watson selon lesquelles l'attaque par ransomware est due au groupe bien connu Black Basta.
Habituellement, lorsque les victimes ne sont pas prêtes à céder au chantage, les gangs de ransomware publient une annonce sur leur propre site de fuite dans le darknet. Ils menacent de publier les données volées afin d'augmenter la pression sur les victimes qui ne veulent pas payer.
Dans le cas présent, la menace a été faite en nommant concrètement la victime sur une page du darknet tenue par des tiers prétendument indépendants. watson renonce pour l'instant à nommer cette page.
Les opérateurs inconnus affirment qu'ils sont à la recherche d'acheteurs pour les données volées sur ordre des pirates. Ils n'auraient rien à voir avec l'acte initial.
Dans un post publié à la fin de la semaine dernière sur le site darknet des courtiers en données autoproclamés, on peut lire dans un anglais assez approximatif:
Dans sa déclaration, TAG Aviation explique que l'enquête est toujours en cours et qu'elle collabore avec des consultants et des autorités de poursuite pénale afin de minimiser l'impact de l'attaque par ransomware.
Les responsables affirment:
Pour rappel, Black Basta compte parmi les gangs de ransomware les plus dangereux au monde. Le mois dernier, ce groupe russophone aurait également attaqué le groupe industriel suisse ABB. Toutefois, après l'annonce de la cyberattaque, le silence est resté suspect. L'entreprise concernée s'est terrée dans le mutisme et aucun post correspondant n'est apparu sur la page de Black Basta sur le darknet. Cela laisse généralement supposer que l'auteur et la victime se sont mis d'accord dans le cadre de négociations et que la rançon a été payée.
Traduit et adapté par Nicolas Varin