Le port de Seattle touché par le ransomware Rhysida lors d'une cyberattaque en août 2024

En août, le port de Seattle, qui gère le port maritime de la ville et l'aéroport international de Seattle-Tacoma, a été victime d'une attaque ciblée par ransomware du célèbre gang Rhysida . L'incident, qui a perturbé des systèmes critiques, a été confirmé par l'agence trois semaines après la violation initiale, affectant diverses opérations de l'aéroport, notamment les systèmes de réservation et d'enregistrement des vols.

Impact sur les opérations et les interventions

Le port de Seattle a annoncé le 24 août avoir isolé certains systèmes essentiels pour minimiser les dégâts causés par l'attaque. Cette mesure de précaution a entraîné des perturbations de service, qui ont notamment eu des répercussions sur les services aux passagers à l'aéroport international de Seattle-Tacoma. Les retards ont varié de l'interruption des processus d'enregistrement à des pannes de systèmes affectant les horaires des vols.

Trois semaines après l'attaque, le port a officiellement confirmé que Rhysida, une organisation criminelle impliquée dans des attaques de ransomware , était responsable de l'attaque. Dans un communiqué de presse, l'agence a assuré au public qu'aucun accès non autorisé n'avait eu lieu depuis l'attaque initiale, soulignant qu'il était toujours sûr de voyager dans ses installations. La réponse de l'agence a consisté à mettre les systèmes hors ligne, ce qui a permis d'empêcher une nouvelle propagation du ransomware, mais a provoqué des pannes temporaires dans toute une série de services, notamment la manutention des bagages, les bornes d'enregistrement et les panneaux d'affichage des passagers. L'attaque a également paralysé le site Web du port, le Wi-Fi et les services d'applications mobiles comme l'application flySEA et les systèmes de stationnement réservé.

Efforts de recouvrement et non-respect des demandes de rançon

La plupart des systèmes touchés ont été restaurés dans la semaine qui a suivi l'attaque, même si certains services essentiels, comme le site Web du port de Seattle et les fonctionnalités de l'application mobile, sont toujours en cours de réparation. Malgré les perturbations importantes, le port de Seattle a pris une position ferme contre le paiement de la rançon exigée par le gang de Rhysida. Le directeur exécutif Steve Metruck a clairement indiqué que le port n'avait aucune intention de céder aux demandes des cybercriminels, affirmant que le paiement de la rançon irait à l'encontre des valeurs du port et de sa responsabilité envers les contribuables.

La décision de ne pas payer la rançon laisse planer le risque que les données volées soient publiées sur le site de fuites du dark web des assaillants. La direction du port a cependant privilégié les principes de cybersécurité et la gestion éthique des fonds publics plutôt que de céder aux demandes des criminels de fournir une clé de décryptage.

La menace croissante de Rhysida et une vague mondiale de cybercriminalité

Rhysida est un acteur relativement nouveau dans l'écosystème des ransomwares en tant que service (RaaS), apparu pour la première fois en mai 2023. Malgré son arrivée récente, le groupe a rapidement fait la une des journaux en piratant des cibles de premier plan comme la British Library et l'armée chilienne, se positionnant comme une menace importante en matière de cybercriminalité. Aux États-Unis, le gang a été lié à des attaques contre des organisations de santé, comme l'a noté le ministère de la Santé et des Services sociaux (HHS). En outre, des agences fédérales comme la CISA et le FBI ont émis des avertissements concernant les tactiques agressives de Rhysida, ciblant un large éventail de secteurs.

Parmi les attaques récentes de grande envergure, citons une faille de sécurité chez Insomniac Games, filiale de Sony, où plus de 1,6 To de données sensibles ont été divulguées après que l'entreprise a refusé de payer une rançon de 2 millions de dollars. Parmi les autres victimes figurent la ville de Columbus, dans l'Ohio, et le Singing River Health System, qui a été contraint d'informer près de 900 000 personnes que leurs données avaient été compromises lors d'une attaque en août 2023.

L'incident du port de Seattle est un autre rappel de l'influence croissante de Rhysida et de la menace croissante des ransomwares dans divers secteurs. La cybersécurité reste une préoccupation majeure pour les institutions publiques et privées, des incidents comme celui-ci soulignent l'importance de mesures de sécurité robustes et les défis posés par les gangs de ransomware comme Rhysida.