Chantage numérique: Le groupe MAZE dépasse les 300 victimes

En quelques mois seulement, les ransomwares ont affiché à la face du monde la simplicité d’infiltrer une entreprise. Le groupe MAZE, à lui seul, affiche plus de 300 victimes visées par chantage numérique !

60 victimes pour Doppel ; 74 pour Netwalker ; 95 pour Conti ; 100 pour Sodinokibi. De son côté, le « grand père » de ces pirates informatiques, opérateurs de ransomware, MAZE, a signé dans la nuit du 19 au 20 septembre, sa 318ème victime.

Il y a un an, quasiment jour pour jour, j’ai débuté le suivi de l’ensemble des groupes pirates (42 exactement) connus pour orchestrés des chantages numériques. Depuis cette date, les cas n’ont jamais été aussi nombreux. Dans ce post, les chiffres reprennent la 3éme phase d’une cyberattaque d’opérateurs de ransomware, celle qui annonce à l’entreprise piégée qu’elle va devoir payer si elle ne souhaite pas voir ses informations divulguées et/ou vendues.

En 365 jours, 1 767 entreprises pigées ; 1 367 machines infiltrées. Des centaines de milliers de fichiers internes, privés, sensibles, dans les mains des pirates informatiques. En juillet j’alertais déjà sur la poussée des attaques à l’encontre d’entreprises françaises.

Maze cartel et compagnie

Plus d’une centaine d’entreprises Françaises concernées, la grande majorité malmenée par le cartel Maze. Ce Cartel, additionne plusieurs groupes de pirates informatiques (des attaques des groupes se retrouvent sous la signature générique de Maze Cartel) dont Ragnar, XxX, LockBit (ce dernier groupe semble avoir repris son autonomie en lançant un nouveau site) ; 38 sociétés Canadiennes. Les entreprises américaines sont les grandes perdantes de ce merdier numérique. Aussi étonnant que cela puisse paraitre, très peu de sociétés indiennes ou israéliennes (en comparant l’importance de l’IT dans ces deux pays). Moins d’une vingtaine à elles deux.

Des cibles aussi variées que diverses même si les cabinets d’avocats et comptables sont clairement dans le collimateur de plusieurs groupes tels que Sodinokibi.

La santé n’est pas plus représentée que les autres industries dans le tableau de chasse de ces terroristes numériques.

La face visible du sommet de l’iceberg

Le BTP à plus de victimes d’un chantage numérique annonçant la diffusion de données que d’hôpitaux, cabinets médicaux et laboratoires réunis. Un secteur sensible néanmoins. Des attaques, en 2019, avaient déjà fait grincer des dents : groupe Ramsay, l’hôpital Issoudun (Indre), l’hôpital Clairval (Marseille), Montpellier, Saint-Denis, Condrieu, Vierzon (Cher). En juin 2019, l’association « Les clowns de l’espoir » perdait l’intégralité de 10 ans de comptabilité.

Par exemple, neuf entreprises dédiées à la santé pour Conti, face à 10 entreprises de transport, 11 du BTP et 20 industriels (Électronique, Sidérurgie, etc.)

Sodinokibi affiche 12 chantages dans le monde de la santé pour 18 dans le secteur informatique.

Netwalker se gargarise de 12 professionnels de l’informatique contre 6 de la santé.

Pysa fait chanter autant de ville que d’hôpitaux (4).

Maze a piégé deux fois plus de sociétés informatique (44) que de structure sanitaires (20).

Pour finir, les spécialistes de l’informatique affichent un étonnant et inquiétant palmarès avec 186 cas. Les derniers en date sont le Français Records ou encore l’américain Coastal Computer et le canadiens Accreon.

Ces chiffres se basent sur l’étude des annonces effectuées par les pirates dans leur site respectif entre le 1er octobre 2019 et le 21 septembre 2020, ainsi que sur des tchats qui me permettent de les croiser, et sur des forums privés où il est possible de suivre leurs discussions.

Il est TRÈS difficile de connaitre véritablement l’argent que ces pirates collectent. Maze, par exemple, sur les 318 cas analysés par ZATAZ, n’affiche que 11 paiements (montant inconnu, même si un cas recensé grâce à des sources internes parlent de 500 000 dollars américains). A noter que ces 318 cas ne sont que la partie visible de l’iceberg. Combien d’entreprises ont payé la première phase, celle de la prise d’otage par le chiffrement des fichiers ? Selon le pirate Russe arrêté par le FBI au moins d’août 2020, sur une somme de 4 millions de dollars perçue se diviserait de la sorte: 50% vont au groupe ; 25% à la taupe ; 250 000$ au créateur du logiciel malveillant ; etc.

365 jours de victimes françaises… connues

AFPA
ARO
Ardenne Metropole
Auteuil Tour Effeil
Bolloré Logistics
Bretagne Telecom
CDPO
CHU de Rouen
Centre Hospitalier de Fleurance
Champagne FM
CPL
CPM International
Charleville Agglomération
Cognizant
Cornet Vincent Ségurel
Courir
Crowne Plaza Hotel Paris République
Endered
EssilorLuxottica
Foussier
Fountaine Pajot
Forsee Power
GAFI HOTEL
GMF
GoSport
Groupe Europe Handling SAS
Groupe Tech Industries
Hilton Bastille
Hilton CDG
Holiday Inn Clermont
Holiday Inn Lille
Holiday Inn Strasbourg
Holiday Inn Toulon
Holiday Inn express Amiens
Holiday Inn express Bastilles
Hotels Hoster
Holy-Dis
Igrec
Interway
Laboratoires Expanscience
Lecta
Leon Grosse
Lise Charmel
Liberty Aluminium Dunkerque
Logeal Immobilier
MAAF
MMA
Mom
Ville de Mitry-Mory
Marseille Provence
MisterFly
Orange business solution
PanPharma
Peugeot Motocycles
Porcher
Prismaflex
Rabot Dutilleul
Région du Grand Est
Records
Roger Martin
Spie
Tarket
Ville de Crets en Belledonne

En 2019, 69 incidents traités par l’ANSSI : ALTRAN, Fleury Michon … Selon Avast, 20 000 PC français étaient pris en otage… en 2016 ! Quatre an plus tard, l’ANSSI intervenait sur plus d’une centaine de cas en 1 seul mois ! Et derriére ces chiffres, des dizaines de milliers de données personnelles dans les mains de pirates comme pour le cas des cabinets comptables ou d’avocats cyberattaqués !

Mise à jour 22/09 : A lire l’intéressant graphique des 45 cas recensés par LeMagiT concernant les cas Français.