Les pirates de Bolloré diffusent des données
Le groupe Netwalker débute la troisième phase de son chantage numérique à l’encontre de Bolloré : la diffusion d’informations volées.
Le 24 mai 2020 je vous expliquais l’implication des pirates informatiques cachés derrière le ransomware NetWalker dans le piratage et la mise en place d’un chantage numérique à l’encontre de la société Bolloré. Les malveillants avaient infiltré une filiale du groupe français : Transport et Logistics en République Démocratique du Congo (RDC). Ce groupe a automatisé l’ensemble de son processus malfaisant. Il infiltre, dérobe un maximum de documents, lance le chiffrement des machines. Finalité, réclamer une rançon.
Mais ces voyous 2.0 ne laissent aucun répit aux victimes. Si les pirates tels que Maze, Cl0p, Ragnar, Sekhmet, XXX, … menacent sans « trop » en rajouter, Netwalker affiche un compte-à-rebours dans sa menace. A la seconde fatidique apparaissent automatiquement liens et mots de passe permettant de télécharger des contenus volés. Cela démontre un élément loin d’être négligeable, durant la seconde phase de cette cyberattaque, le chantage à la divulgation, les fichiers sont déjà téléchargés dans des cloud tels que Mega.nz, Drop me files, Anonfiles …
Dans le cas de la filiale transport Bolloré, des centaines de documents bancaires, des fichiers d’employés, des documents comptables avec des commentaires sur les partenaires, les processus du règlement des factures … Une mine d’or d’informations pour les professionnels de la Fraude aux faux virements. Les pirates expliquent cette diffusion ainsi « Nous nous excusons devant tous les clients de Bolloré et tous ceux qui ont utilisé ses services pour publier vos données personnelles. Nous regrettons que Bolloré et les régulateurs ne se soucient pas de leurs clients et de leurs données personnelles. » Le fameux double effet RGPD ! Les pirates annoncent des diffusions, chaque semaine.
Même diffusion malveillante pour la société française Porcher Industries. Les pirates ont mis en ligne plus de 800 Mo de documents comptables.
À noter que Sodonikobi affiche, depuis le 1er juin, un compte à rebours, et une nouvelle section baptisée « Auction » qui affiche les montants demandés dans une vente aux enchères des données !
Обращение добавлено!
Pendant ce temps, les autres groupes pirates continuent, eux aussi, ce travail de sape. La manufacture Suisse Stadler (8 500 employés dans le monde) spécialisé dans les trames de train/métro et le brésilien Arteris, gestionnaire d’autoroutes se retrouvent dans le piège de Nefilim. Doppel menace six nouvelles entreprises dont le britannique Elexon.
Cette société anglaise a lancé une communication de crise (site web, courriel, …) et indique « Nous avons identifié la cause profonde [de la cyberattaque] et résolvons maintenant le problème. Comme nous ne détenons aucune donnée au niveau des clients, il n’y a aucun risque pour le public. » et devinez ce qu’a fait Doppel ? Diffusion de documents personnels comme des pièces d’identités (passeports, …) !
Selon mes constatations, Doppel possède, via la trentaine d’entreprises affichées, plusieurs milliers de dossiers appartenant à des entreprises partenaires des « premières » victimes. Dans le lot, des dizaines de clients de cabinets d’avocats et de cabinets comptables.
Les avocats et l’agroalimentaires, cibles de luxe pour les pirates
Sodinokibi continue ses menaces, de plus en plus ciblées « monde juridique » et « agroalimentaire« . Du côté « juridique », les informations de la chanteuse Madonna ont été mises aux enchères, le 25 mai 2020 : 1 million de dollars, prix de départ. Les pirates annoncent de nouvelles données à télécharger dans les heures qui viennent !
Les cabinets d’avocats dont les données ont été prises en otage se retrouvent avec des demandes de rançons allant de 42 millions de dollars à 100 000 $ US. Ce même groupe avait menacé TRUMP de révélation. Depuis, la menace a disparu ! Quelqu’un (un inconnu, l’équipe Trump, Services Secrets US, …) semble avoir acheté les informations.
Sodinokibi menace deux nouveaux géants de l’agroalimentaire. Le Canadien Agromart et l’Américain Sherwood Food & Harvest Distributors. Les pirates ont mis à prix 100.000$ les informations.
Chez Ragnar, la société Brunerworks & Bhivelab se retrouve dans les mailles du filet des voyous. Ces derniers ont analysé les téras de données volées. Ils ont diffusé un document lié à la gestion d’une crise numériques et les process attenants, ainsi que l’affichage de la base de données clients avec les identités, adresses, …