Entreprises Française et Canadienne visées par le ransomware Maze, ZATAZ rencontre les pirates

Le groupe de pirates informatiques caché derrière le ransomware Maze vient de diffuser le nom et les informations de plusieurs entreprises infiltrées. Dans le lot, des entreprises Française et Canadienne. ZATAZ a contacté les pirates. Attention, monstre numérique en action !

Dans l’article dédié au ransomware Maze, nous vous expliquions comment le groupe de pirates avaient trouvé un moyen de faire payer les société « récalcitrantes« . La méthode, diffusées les informations volées avant la prise d’otage. Le double effet « pirate » ! ZATAZ est rentré en contact avec les pirates. Assez facilement, d’ailleurs. Comment ? Via le tchat qu’ils ont mis en place avec leurs victimes. Lors de la prise d’otage, les pirates proposent de converser avec eux. Je l’ai donc fait. Comme pour le reportage sur ce genre de « service après-vente pirate » que je vous proposais il y a « six mois », ici aussi, les pirates démontrent une armée et des processus numériques parfaitement maîtrisés.

Dans les conversations qu’ils ont avec leurs « clients », pas de pitié « mais des réductions possibles. Nous savons que tout le monde n’a pas l’argent » indiquent-ils. Lors des conversations, ils n’hésitent pas à donner des informations sur leur interlocuteur. « Vous êtes un chercheur dans les antivirus » expliquent-ils à l’un d’eux.

Entreprises Française et canadienne dans leur filet

Dans la conversation que j’ai pu avoir, ils m’ont confirmé la prise en main d’au moins une entreprise Française, et d’une entité Canadienne « Andrew Agencies is Canadian insurance and DV-GROUP is a French company. There is no Belgian companies listed as they paid. » Nos amis Belges apprécieront !

Ils m’ont confirmé la présence d’une future autre société francophone « Bientôt, il y aura une autre entreprise française, vous la verrez selon son domaine .fr. » vont-ils me confirmer. A la vue des tailles de serveurs infiltrés (captures écrans ci-dessus et ci-dessous), il y a de quoi s’inquiéter sur les données volées !

Dans les cas Canadien et Français, les pirates ont diffusé des preuves, dont les identifiants de connexion (login et mot de passe hashé) du site basé en Amérique du Nord. Pour le Français, des documents internes comme le montre mes captures écrans.

Un moyen de pression qui risque de devenir très efficace. Payer le déchiffrement, ou payer le silence ! On sent venir l’abonnement mensuel !

Mise à jour : Quelques jours après cet entretien surréaliste, les pirates ont diffusé une entreprise Belge (Les bières Busch) ; deux nouvelles sociétés Canadiennes ainsi que deux Françaises. Détail intéressant: soit l’interlocuteur n’était pas au courant des « victimes » en cours ; soit il n’a pas souhaité en parler au moment de notre entretien.

Mise à jour 30/12/2019 : La société DV Group a déposé plainte le 30 décembre 2019 auprès de la Gendarmerie Nationale. Nous avons transmis au directeur financier de l’entreprise les informations diffusées par les pirates. Il nous a confirmé la véracité des données. « Il y a eu une demande de rançon par écrit [les fichiers textes laissés par les pirates sur les serveurs, NDLR]. Nous n’avons pas répondu à leur demande.«