Skip to main content

2 Jan, 2019

Une suspicion de ransomware perturbe les journaux américains Tribune Media suspecte que le ransomware Ryuk de « frapper » les systèmes de publication et de production

Une suspicion de ransomware perturbe les journaux américains Tribune Media suspecte que le ransomware Ryuk de « frapper » les systèmes de publication et de production

La production de journaux appartenant à la société « Tribune Publishing » de Chicago a été interrompue après que des logiciels malveillants aient commencé à infecter les systèmes de publication et d’impression de l’entreprise.

Plusieurs sources citées par les journaux Tribune ont suggéré que l’infection par les logiciels malveillants, qui a commencé tard jeudi, impliquait un ransomware connue sous le nom de Ryuk, qui pourrait être liée aux opérateurs nord-coréens. Mais les experts en sécurité disent qu’il est beaucoup trop tôt pour qualifier l’épidémie de ransomwares de Tribune de quelque chose de plus qu’une infection opportuniste, et notent que n’importe qui peut potentiellement obtenir et utiliser des logiciels malveillants, indépendamment de leur identité, affiliation politique ou autres motivations.

Tribune Publishing dit que l’infection par les logiciels malveillants, qu’il a découvert vendredi, n’a compromis aucune information financière et n’a eu aucun impact sur ses sites Web, mais a perturbé les systèmes qu’il utilise pour publier et imprimer ses journaux. Tous ses journaux ont été touchés.

« Cette question a affecté l’actualité et, dans certains cas, l’exhaustivité de nos journaux imprimés », a déclaré Marisa Kollias, porte-parole de Tribune Publishing dans un communiqué publié samedi, le Chicago Tribune a rapporté. « Nos sites web et applications mobiles n’ont pas été touchés. »

Marisa Kollias a déclaré que l’entreprise  » fait des progrès  » dans la remise en état des systèmes. « Il n’y a aucune preuve que les renseignements sur les cartes de crédit des clients ou les renseignements personnels identifiables ont été compromis « , dit-elle.

Anciennement connu sous le nom de Tronc, Tribune Publishing possède le Chicago Tribune, ainsi que les journaux de banlieue de Chicago Lake County News-Sun et Post-Tribune ; Los Angeles Times ; The Baltimore Sun ; The New York Daily News ; Hartford Courant ; Orlando Sentinel ; la Capital Gazette à Annapolis, Maryland ; The Morning Call in Allentown, Pennsylvania et, en Virginie, le Daily Press à Newport News et The Virginian-Pilot dans Norfolk.

Le Chicago Tribune a rapporté que son édition du samedi avait été publiée « sans avis de décès payés et annonces classées », en raison de l’infection par les logiciels malveillants, et que certains journaux du samedi dans d’autres marchés étaient livrés dans une « version allégée » le dimanche.

Le Los Angeles Times et San Diego Union-Tribune ont également rapporté avoir connu des perturbations dues aux logiciels malveillants, entraînant des retards dans les livraisons à domicile, voire aucune livraison du tout. Tribune a vendu les deux journaux au milliardaire biotechnologique Patrick Soon-Shiong pour 500 millions de dollars en juin. Mais dans le cadre d’une entente de transition, elle continue de supporter les journaux, y compris leurs activités d’impression.

« En raison d’une panne informatique majeure qui a affecté notre impression et nos livraisons, beaucoup d’entre vous n’ont pas reçu leur exemplaire du Los Angeles Times du samedi « , ont déclaré Norman Pearlstine, rédacteur en chef du journal, et Chris Argentieri, son directeur des opérations, dans des excuses affichées samedi dernier.

« Nous savons aussi que beaucoup d’entre vous n’ont pas été en mesure de signaler la livraison manquée « , ont-ils écrit. « Nous nous excusons pour le désagrément et vous remercions de votre patience alors que nous travaillons activement à résoudre ces problèmes et à rétablir un service rapide à nos clients ».

Les problèmes de distribution des journaux ont également affecté les éditions de la côte ouest du New York Times et du Wall Street Journal, qui partagent les mêmes presses.

Le Tribune a dit qu’il a alerté le FBI de l’incident. « Nous sommes au courant d’informations faisant état d’un cyberincident potentiel affectant plusieurs organes de presse et nous travaillons avec nos partenaires gouvernementaux et industriels pour mieux comprendre la situation « , a déclaré Katie Waldman, porte-parole du DHS, dans un communiqué, selon Reuters.

Infection soupçonnée par Ryuk

Citant une source anonyme ayant connaissance de l’enquête, plusieurs points de vente de la Tribune ont rapporté que le logiciel malveillant semblait être un ransomware baptisé Ryuk, et une source a noté que les fichiers verrouillés par cryptage avaient été renommés avec une extension « .ryk ». Mais les sources ont noté qu’aucune demande de rançon n’avait été reçue.

Note de rançon laissée dans certaines attaques Ryuk – bien que Tribune Media dit qu’il n’a pas vu de note de rançon. (Source : Check Point)

Ryuk a été utilisé pour infecter des organisations à travers de nombreuses verticales depuis qu’il a été repéré pour la première fois le 13 août.

« Notre première découverte de Ryuk a eu lieu au cours d’une mission d’intervention en cas d’incident impliquant une société de conception et de fabrication d’équipement de recherche médicale dont le siège social se trouve aux États-Unis, avec des sites en Europe « , a déclaré Tim Otis, responsable de l’intervention en cas d’incident à Check Point, à Information Security Media Group en août (voir Alerte :  » Ryuk’ Ransomware Attacks the Latest Threat). « Nous avons eu d’autres cas de Ryuk impliquant d’autres secteurs verticaux, tels que des cabinets d’avocats et des chaînes de magasins de proximité aux États-Unis et à l’étranger ».

« La vague actuelle d’attaques ciblées utilisant Ryuk peut être soit le travail des opérateurs Hermes – le groupe nord-coréen présumé – soit le travail d’un acteur qui a obtenu le code source Hermes. »

Check Point a publié en août un rapport sur Ryuk, cité plus tard dans une alerte du gouvernement américain, indiquant que le ransomware semblait être basé sur le ransomware Hermes, qui a été largement lié à Lazarus, qui est un groupe de pirates, des outils et des campagnes d’attaque qui ont des liens suspects avec le gouvernement basé à Pyongyang, Corée du Nord (voir Lazarus’FASTCash’ Bank Hackers Wield AIX Trojan).

Mais la similitude de code entre Ryuk et Hermès n’est pas une preuve irréfutable, a averti Check Point. La similitude  » nous porte à croire que la vague actuelle d’attaques ciblées à l’aide de Ryuk peut être soit le travail des opérateurs Hermes – le groupe nord-coréen présumé – soit le travail d’un acteur qui a obtenu le code source Hermes « , indique le rapport de Check Point.

https://www.bankinfosecurity.com/suspected-ransomware-outbreak-disrupts-us-newspapers-a-11911

https://www.chicagotribune.com/business/ct-biz-computer-virus-tribune-publishing-20181229-story.html

https://www.bankinfosecurity.com/alert-ryuk-ransomware-attacks-latest-threat-a-11475

https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/

https://www.bankinfosecurity.com/north-korean-hackers-tied-to-100-million-in-swift-fraud-a-11579

https://www.bankinfosecurity.com/lazarus-fastcash-bank-hackers-wield-aix-trojan-a-11694