rançon Ransomwares cryptolocker

Les pirates de Dopple diffusent des données de l’AFPA

Ransomware : L’AFPA se retrouve confrontée aux pirates de Dopple. Les pirates sont-ils encore dans certaines machines ?

Le journal « Le Parisien« , sous la plume de Damien Licata Caruso, est revenu, il y a quelques heures, sur la prise d’otage numérique ayant visé l’AFPA, l’Agence nationale pour la formation professionnelle des adultes. Le ransomware Dopple est passé par là ! Selon la communication de l’agence, pas de données sensibles volées, quelques machines et une remise en place rapide après cette attaque avortée. L’AFPA a confirmé au quotidien « un incident de sécurité dans la nuit du 7 au 8 mars dernier qui n’a pas perturbé longtemps le fonctionnement de nos services« . Tout était sous contrôle quelques heures plus tard.

Dans les fichiers volés et diffusés par les pirates, de nombreuses adresses électroniques.

Oui… mais non !

Seulement… les pirates opérateurs de Dopple, ils avaient demandé une rançon pour déchiffrer les fichiers, ont lancé la phase deux de la malveillance : faire payer leur cible pour que ne soit pas diffusés les documents volés avant la prise d’otage numérique des fichiers et machines.

Et comme à chaque fois, les pirates viennent de diffuser plusieurs milliers de documents internes. ZATAZ a pu en compter exactement, 7 383 fichiers.

Les malveillants parlent de 65 076 machines, accès, … ZATAZ a pu constater dans l’espace de « communication » mis en place par les pirates, des machines de tests, postes de travail, des Exchange ; du Windows 10 Entreprise ; des Windows 7 Entreprise … Des machines, toujours selon les informations des pirates, impactant les AFPA du Midi-Pyrénéenne, Nord-Pas de-Calais, Île de France, Bretagne, … pour ne citer qu’eux. L’AFPA m’a répondu, me confirmant un blocage très rapide de l’infiltration. Les pirates auraient exploité des accès administrateurs.

Dans les documents, des fichiers courant jusqu’à la mi avril 2020. Cela veut-il dire que Dopple avoir eu accès aux machines après de les dates annoncées par l’AFPA ? Ont-ils toujours accès comme le montre des factures et documents datant du 16 avril 2020 ? Certains autres fichiers affichent des dérogations de déplacements imposées par l’Etat Français depuis le 22 mars. Soit 15 jours après l’attaque confirmée par l’AFPA.

Des milliers de documents ont été volés et diffusés. Certains sont datés de la mi-avril 2020.

Non… mais oui !

Dans les fichiers analysés, en plus de nombreux documents de fonctionnements et de formations (ils sont publics), de nombreux documents avec des identités, des signatures, des mails, des téléphones, des factures, des données appartenant à des entreprises (partenaires) comme cette fiche dédiée aux « restaurateurs » contenant identités, adresses, téléphones portables. Autant de matières exploitables par des pirates dans de futures arnaques, infiltrations, chantages.

Ce qui m’inquiète le plus, certains dossiers baptisés « Comptabilité » ou encore « Commercial« . Pourquoi ? Ils sont vide. Les pirates les ont-ils vidé comme un avertissement caché ? Malheureusement, l’avenir nous le dira. La CNIL et les autorités compétentes ont été alertée par l’AFPA. C’est le cabinet Ernst and Young qui se charge d’auditer le sac de nœud !

Pendant ce temps…

Dopple a annoncé trois autres cyber attaques dont la banque Kosovar « Banka Ekonomike ». Les sites de MAZE (2 sur 3) sont hors services… mais pour combien de temps ?  Sodinokibi affiche de nouvelles victimes dont Grand Furniture, une enseigne de décoration et ameublement. Cl0P, CL et compagnies restent, pour le moment, assez discrets sur leurs dernières exactions.

Concernant les opérateurs de ransomware, à lire l’étude proposée par la société The 8Brains concernant une attaque du groupe opérateur de Sodinokibi à l’encontre des PME et télétravailleurs.

 

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.