ransomwares

Diffusion des données volées à la Communauté d’Agglomération Ardenne Métropole

Quatre mois après la cyber attaque de la Communauté d’Agglomération Ardenne Métropole, les pirates opérateurs du ransomware Doppel diffusent des centaines données appartenant à l’entité politique.

Les pirates informatiques cachés derrière le ransomware Doppel / Doppler viennent d’annoncer l’infiltration, le rançonnage et l’exfiltration de données volées à Ardenne Métropole, une Communauté d’Agglomération comptant 58 communes (130 000 habitants, dont Sedan, Charleville-Meziere …) regroupant 46 % de la population et 16 % des communes du département des Ardennes. Ce piratage date de mars 2020. Dans la nuit de jeudi 5 à vendredi 6 mars 2020, une grosse partie des serveurs avaient été chiffrés, et les sauvegardes corrompues.

A l’époque, il était expliqué qu’aucune demande de rançon n’avait été envoyée (les demandes de rançon sont TOUJOURS présentes lors de la cyber attaque, NDR). L’agglomération ignorait alors si des données personnelles avaient été récupérées par les voyous. Une plainte avait été déposée, une unité spécialisée du parquet de Paris est sur l’affaire.

Les voyous 2.0 ont diffusé neuf sauvegardes (Appels offres, KB, Prod, …) mais aussi des bases de données SQL ou encore un dossier baptisé MAIRIE-CHARL. Les pirates se sont contentés d’une seule phrase : « Welcome to france« .

Le message des pirates « Welcome to France » ! – Source: zataz.com

A noter que le même ransomware s’est attaqué à une importante entreprise immobilière du Nord-Ouest de la France. Dans ce cas, des documents financiers ont été mis en ligne. Il y a malheureusement de forte chance que les données personnelles et privées que les pirates ont collecté soient vendus dans le black market. Il est INDISPENSABLE d’alerter les personnes, partenaires, employés… afin de prévenir le moindre effet papillon de ces infiltrations : ransomware, usurpation, …

Des associations d’aides ciblées

Les opérateurs de ransomwares, comme vous pouvez le découvrir sur ZATAZ, n’ont aucune limité dans leurs actions malveillantes. Ils ciblent entreprises, particuliers, associations. Plusieurs groupes rencontrés indiquent agir un peu au petit bonheur la chance. Ils lancent des filets sous forme de courriel, malheur à ceux qui valideront les contenus.

Des groupes comme MAZE ou Sodinokibi ont confirmé exploiter des failles et infiltrations proposées par des « partenaires« , comprenez des « pirates » qui infiltrent des sites web, serveurs … Sans parler d’exploitations personnelles de vieilles vulnérabilités non corrigées, comme ce fût le cas pour la banque du Costa Ricca par MAZE. Entreprise financière infiltrée en août 2019 et rançonnée en mai 2020.

Parmi les dernières victimes, des associations d’aides aux personnes en difficulté comme la Fondation Suisse Oliviers ou encore la Québécoise « Dans la rue« . Si dans ce dernier cas, pas de traces de données volées avant l’intervention malfaisante du logiciel de chiffrement des fichiers (mais l’association a annoncé avoir payé les pirates, NDR), dans le premier cas, les pirates ont diffusé des documents bancaires (Amex, Postfinance).

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.