Le 8 juin, le conglomérat japonais Kadokawa a subi une cyberattaque qui a rendu inaccessibles plusieurs de ses sites Internet, notamment le site officiel et les plateformes de services en ligne NicoNico et Ebten.
Le studio de développement FromSoftware, à l’origine d’Elden Ring, appartient également à Kadokawa, mais l’impact de la cyberattaque sur son activité n’a pas été précisé.
Dix jours plus tard, CDK, un fournisseur de logiciels pour les concessionnaires automobiles, a également subi une cyberattaque qui a nécessité l’arrêt de la plupart de ses systèmes. A l’heure où nous mettons sous presse, l’impact sur l’activité des concessionnaires automobiles outre-Atlantique reste considérable ; cela devrait être perceptible dans les chiffres des immatriculations de véhicules neufs du mois de juin. Et la restauration des systèmes semble encore loin d’être achevée.
Le 22 juin, le National Health Laboratory Service (NHLS) en Afrique du Sud a été touché par une cyberattaque par ransomware. Les systèmes NHLS ont été rendus inaccessibles et les laboratoires ont fonctionné en mode manuel, les résultats des tests étant communiqués par téléphone.
Quel est le point commun entre ces cyberattaques ? Des impacts considérables et un même responsable : le groupe BlackSuit. Ce dernier a revendiqué l’attaque de Kadokawa le 27 juin, en annonçant la divulgation de 1,5 To de données volées pour le 1er juin.est Juillet.
Des sources anonymes ont confirmé à nos confrères de Ordinateur qui bipe Implication de BlackSuit dans la cyberattaque contre CDK. Dimanche, le PDG de la NHLS, Koleka Mlisana, a publiquement blâmé BlackSuit pour l’attaque. Ce n’est pas la première victime de BlackSuit dans le secteur de la santé : le 15 avril, l’attaque contre Octapharma Plasma, exploitant de plus de 150 centres de don de plasma sanguin aux États-Unis, a été attribuée à BlackSuit, qui en a revendiqué le 23 avril.
Les premières victimes connues de cette marque remontent à juin 2023, mais c’est à partir de novembre dernier qu’elles ont commencé à se multiplier. À ce jour, il y a un peu moins d’une centaine de réclamations.
L’automne dernier, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) s’en doutait – et n’était pas la seule : « il y a des indications que Royal prépare un effort de changement de marque et/ou de spin off « . Dans leur viseur, BlackSuit, qui « partage plusieurs caractéristiques de code similaires avec Royal ».
Royal est le groupe impliqué dans la cyberattaque qui a touché la ville de Lille fin février 2023. Son origine se trouve dans une franchise découverte en janvier 2022 et baptisée Zeon. Aucune de ses victimes n’est connue publiquement.
Yelisey Bohuslavskiy de RedSense estime que BlackSuit est une émanation de la deuxième équipe de feu Conti, ayant choisi de s’ouvrir et de se décentraliser, en recrutant des attaquants (ou les pentesters, (selon le jargon en vigueur dans le monde de la cybercriminalité) chez LockBit, Akira (une autre émanation de Conti) et BlackCat.
Selon lui, en mars, une scission aurait eu lieu chez BlackSuit, donnant lieu à une autre spin off Royal, BlackSpade. Ce sous-groupe est considéré comme responsable de l’attaque contre Octapharma Plasma et CDK.
