Fuite de données pour Investissement Québec et MultiPlan, deux géants nord-américains.
Investissement Québec, l’un des acteurs majeurs de l’économie québécoise, a récemment été la cible d’une cyberattaque. Des pirates informatiques ont réussi à infiltrer l’outil de stockage de données en cloud de l’entreprise, entraînant la diffusion non autorisée d’informations internes, ce dimanche.
Investissement Québec est une société d’État québécoise qui a pour mission de favoriser la croissance et la prospérité économique du Québec en soutenant les entreprises québécoises dans leurs projets d’investissement, de croissance et d’innovation.
Pour ce faire, Investissement Québec offre une gamme de services financiers, notamment des prêts, des garanties de prêts, du capital-actions et des investissements en fonds propres pour soutenir les projets d’entreprises. Elle aide également les entreprises à accéder à des marchés internationaux et à développer des partenariats stratégiques.
Investissement Québec est également responsable de la gestion des programmes d’aide financière du gouvernement du Québec destinés à soutenir le développement économique des régions du Québec. Bref, un géant économique.
Chantage et diffusion
Les pirates informatiques du groupe Cl0P viennent de débuter un chantage qui semble durer depuis un certain temps. La nouvelle étape de leur malveillance est la diffusion de données exfiltrées à l’entreprise après ce qui semble être une infiltration d’un service cloud d’une société tierce, piratée en février via un 0day, une faille connue que des pirates eux-mêmes. « L’entreprise ne se soucie pas de ses clients, elle a ignoré leur sécurité ! » affichent sans vergogne les malveillants.
Un premier dossier et de nombreuses identités ont commencé à fuiter. On y retrouve les employés d’Investissement Québec (invest-quebec.com) mais aussi ce qui semble être des clients. On y croise BNC, Desjardins, 8Brains, etc. Investissement Québec, annonçait dans les pages du journal de Montréal, en février 2023, ne pas avoir de clients impactés par cette cyber attaque.
Ce piratage, le vol de données et le chantage qui s’ensuivent ont été possible via la faille GoAnywhere. Plus de 90 000 clients. Comment suis-je sûr que les données sont vraies ? Il y a l’entreprise pour qui je travaillais à Montréal. Parmi les autres données, plus de 4 000 employés du gouvernement, de communes comme Montréal, Québec, etc. Des milliers d’employés d’Investissement Québec, via des documents baptisés Télémédecine ou encore Lifework, voient leurs adresses électroniques dans les mains des black hats. Autant de potentielles cibles. Il va falloir changer les adresses, ou alors être très prudent à la moindre réception de messages électroniques.
Le chiffrement, brique de protection ?
Des messages qui, fort heureusement, sont inutiles en l’état. Ils sont chiffrés avec GPG. D’autres documents, mis en ligne, sont eux aussi chiffrés. On peut d’ailleurs féliciter les équipes d’avoir mis en place cette sécurité. Même exfiltrés, les contenus ne peuvent être exploités par les pirates informatiques. Espérons que ces hackers malveillants n’ont pas les clés qui permettraient de lire les fichiers.
Ses informations semblent avoir été exfiltrées par les rançonneurs le 19 février 2023. Ils n’indiquent pas quelle quantité d’informations sensibles et personnelles ils ont pu voler. Dernier détail, cette cyberattaque est intéressante d’un point de vue de la défense. Nous savons tous qu’un pirate peut, par chance ou
par connaissance, accéder à certaines données. Si ces dernières sont chiffrées, le pirate n’exfiltrera que des coquilles vides et illisibles pour de futurs potentiels méfaits. L’exploitation de GPG est une excellente initiative pour mettre des bâtons dans les roues.
Mars 2023, le pire mois ransomware
Comme le montre les chiffres de ZATAZ pour ce mois de mars 2023 [ci-dessus], les maitres chanteurs n’ont jamais été aussi actifs. Il y a eu autant de malveillances numériques affichées par des groupes pirates en mars que sur les deux premiers mois de l’année. Le 0Day du groupe Cl0p aura fortement aidé à cette explosion de piratages.
L’autre graphisme [ci-dessous], montre l’appétit grandissant de « petits » groupes comme Royal ou encore BlackCat/ALPHV, Cl0p ou Vice Society pour ne citer qu’eux !
D’autres grosses fuites sont en cours d’être orchestrées, comme celle visant l’assureur MultiPlan. 3 To auraient été volés. La malveillance des pirates, dans ce cas, est intéressante à suivre car ces derniers expliquent que leur cible a retardé les négociations avec les pirates pour ne pas « perturber la publication de ses résultats trimestriels« . Des pirates qui suivent donc l’économie et les entreprises qu’ils attaquent.+
MultiPlan est une entreprise américaine de gestion de réseaux de prestataires de soins de santé. Fondée en 1980, elle est basée à New York et est l’un des plus grands réseaux de prestataires de soins de santé aux États-Unis.
MultiPlan travaille avec des assureurs, des fournisseurs de soins de santé et des employeurs pour gérer les coûts de soins de santé et améliorer l’accès aux soins pour les patients. Elle propose des services tels que la gestion de réseaux de prestataires, la tarification des prestations médicales, la gestion des soins de santé, la gestion de la qualité des soins et des programmes de prévention des maladies.
MultiPlan est également connue pour son réseau de prestataires de soins de santé, qui comprend plus d’un million de médecins, de fournisseurs de soins de santé et d’hôpitaux à travers les États-Unis.