Everest, le pirate qui croque de l’avocat nuit et jour !

L’affaire du piratage des données judiciaires du magazine Charlie Hebdo et du meurtre de Samuel Paty remet sur le tapis les infiltrations des pirates informatiques dans les secrets les plus sensibles. Mais qui est ce groupe ? Découverte.

« On ne donne pas d’interview […] on vend les exemples de ce que nous volons 5.000 $ US » indique le groupe de pirates informatiques Everest Ransom Team que j’ai pu joindre brièvement ce 20 novembre 2021. Qui répond ? Je ne le sais toujours pas. Le « chef » de bande ? Un chargé de clientèle ? Le FBI ? Je n’ai pas eu de mal à entrer en contact avec cet inconnu qui, faut-il le noter, me répond en moins de 5 minutes à chacun de mes courriels.

Menace signée « Everest » datant d’octobre 2018.

Everest Ransom Team est apparu en octobre 2018. Il est dans la lignée des rançongiciel apparu à l’époque tels que Thunder, Divine, Volcano ou encore Evil Locker. Il en reprend d’ailleurs les messages et la « construction » des courriels de menaces. Des missives accompagnées d’un fichier joint écrit en chinois « 新建文本文档 » (Créer un nouveau document texte). Est-ce le même groupe qui évolue aujourd’hui ? Difficile à dire tant les « bandes » se font et se défont aux grés des alliances, des délations et arrestations. Everest ransomware va réapparaitre, plus « bruyant », en décembre 2020.

Les pirates annoncent les cabinets d’avocats infiltrés.

A ce jour, ZATAZ a pu référencer plus de 75 entreprises piégées, dont des cabinets d’avocats français (7), ou encore une quinzaine d’entreprises comme Alispharm, Xefi, Confiance Immobilier, Alltech, Assurances et courtages lyonnais, Always group, Epsilon Hydraulique, Lamaziere, Assurcopro.

Ils dénoyautent des avocats soir et matin

Everest c’est fait une spécialité des cabinets d’avocats. Pas moins d’une vingtaine de victimes en quelques mois comme de nombreux cabinets basés en Amérique du Nord, au Canada, en Angleterre ou encore dans l’hexagone. C’est d’ailleurs la France qui fait sortir de nouveau de l’ombre ces infiltrations orchestrées dans les dossiers sensibles cachés sous les robes noires.

Souvenez des révélations de ZATAZ avec le groupe Sodinokibi qui en son temps avait infiltré l’un des plus gros cabinets d’avocats de la place de New-York en diffusant des données sur Donald Trump, Lady Gaga ou encore Bruce Springsteen.

En France, les dossiers de l’affaire des attentats de Charlie Hebdo volés par les pirates d’Everest montre, une fois de plus, combien l’infiltration et le silence des victimes peut devenir un véritable enfer.

Des pirates capable de trier des informations et des contenus !

Les clients des cabinets dans les mains des pirates

Dans le cas des dossiers des attentats de Charlie Hebdo et de Samuel Paty, Everest commence à diffuser des informations volées à ce cabinet d’avocat le 13 novembre 2021. Plus de 800GB sont exfiltrés des professionnels du droit.

Les pirates parlent de plus de 30 000 dossiers et de plus d’1,3 million de fichiers ! « Une énorme quantité de données confidentielles, d’affaires judiciaires, soulignent les hackers malveillants sur leur blog installé dans le darkweb. Des passeports, des relevés bancaires, des rapports de police, de messages vocaux, etc.« 

Les pirates expliquent aussi que chaque affaire judiciaire est divisée en dossiers séparés. 6 319 dossiers au total. « En outre, toutes les données du PC des employés. » concluent-ils !

Six dossiers, près de 2Go, sont diffusés par les pirates sur un sites licites basés en Ukraine. Une sorte d’échantillon gratuit. J’ai pu constater près de 200 téléchargements pour les six dossiers mis à disposition par Everest.

A noter qu’un septième dossier, comprenant des documents divers, a été diffusé quelques semaines plus tôt. Il va disparaitre de l’espace de stockage ukrainien. Je ne sais pas par qui ! Les pirates ou à la suite d’une demande des autorités judiciaires ?

Six espaces de stockages sont utilisés par les pirates.

Et maintenant ?

Everest est déjà passé à autre chose, à d’autres victimes comme le gouvernement Argentin : 350 000 dollars US pour un accès Intranet ou encore cet éditeur italien, SIAE. 150 000 $ demandés pour ne pas diffuser les données volées. Dans leur humour très personnel, les pirates parlent de « donation« .

Ils écrivent aussi et surtout la possibilité de vendre toutes les données qu’ils exfiltrent aux premiers acheteurs intéressés. Et comme il n’y a pas de petits profits, ils vendent 5 000 dollars les échantillons qui pourraient être demandées. Montant à déduire du prix final, en cas d’achat !

Bref, du vrai marketing… de la malveillance.