Le groupe Econocom confirme une attaque de cybersécurité. Les dernières investigations montrent que les informations fuitées proviendraient d’un prestataire intervenant pour quelques clients Econocom en France. ZATAZ retrouve les pirates !

Samedi 19 août, les pirates informatiques du groupe Stormous a revendiqué avoir piraté la société Econocom. « Aucune demande de rançon n’a été reçue par le groupe. » affiche dans son communiqué du 24 août la société Econocom.

Les pirates du groupe Stormous ont commencé à « communiquer » sur cette infiltration le 19 août en affichant des documents qu’ils auraient prétendument exfiltrés. Les black hats parlent de : mots de passe ; Projets ; Messages ; Plans ; Rapports ; Comptes & Support ; Anciens dossiers ; Procédure configuration DHCP ; Borne DLINK. Ce même jour, Stormous annonçait avoir diffusé 5% de informations exfiltrées.

Premier message de menace de Stormous. – Capture : ZATAZ

Dans son excellente communication de crise, Econocom explique dans le communiqué de presse que ses équipes sécurité (Group Security et le Security Operations Center) se sont immédiatement mobilisés, et ont lancé les premières investigations. Celles-ci ne permettant pas de détecter d’actions malveillantes au sein du Service Informatique d’Econocom. L’hypothèse la plus plausible était qu’il s’agissait d’une réminiscence d’une précédente attaque en 2020 (documents diffusés très anciens), aujourd’hui circonscrite, dont Econocom avait été victime. Le Ransomware Pysa (aka mespinoza) était passé par là, à l’époque. Des attestations de carte vitale, carte d’identité, diplôme, RIB, avaient été diffusés à l’époque comme le confirmait LeMagIt.

Le mardi 22 août aux alentours de 15h, Econocom constate que des données plus récentes ont été exfiltrées et active le dispositif de gestion de crise cyber : les données exfiltrées sont trouvées sur deux partages SharePoint à usage individuel (créés via Teams). Ces dossiers comportent peu de données, et ont été isolés dès leur identification mardi 22 août 2023, respectivement à 16h00 et 18h00.

« Tous les accès à ces SharePoints ont ainsi été bloqués. L’infrastructure SharePoint d’Econocom prévient en outre toute forme de propagation vers d’autres systèmes. Par ailleurs, l’analyse des données exfiltrées ne permet pas à ce jour d’identifier de données sensibles.«

Le mercredi 23 août matin, les investigations montrent qu’un poste utilisateur d’un prestataire d’Econocom en France serait à l’origine de la fuite de données. Le prestataire a immédiatement été contacté pour, en collaboration avec ses équipes, identifier puis bloquer la source de l’attaque et analyser ses impacts exhaustifs.

Le personnel de ce prestataire, qui se connecte à une ressource Econocom par VPN pour récupérer les documents nécessaires à l’exécution de ses missions, est identifié et les accès des postes aux ressources Econocom sont révoqués. Les investigations confirment que les données fuitées sont issues d’un espace de partage chez le fournisseur.

« A ce jour, la piste la plus plausible est ainsi que le prestataire a été compromis et que les données ont été exfiltrées depuis ses infrastructures. Toutefois, les investigations et mesures de confinement se poursuivent chez Econocom pour s’assurer qu’aucun système interne n’a été compromis. » exprime la société.

La réaction de Stormous quelques minutes aprés la diffusion du communiqué de presse d’Econocom. – Capture : zataz

Des pirates de plus en plus agressif !

Le 21 août, Stormous devient agressif : « Nous travaillons pour divulguer le reste des données de l’entreprise, y compris les données des employés, les mots de passe, etc. […] a pu lire le Service Veille ZATAZ, le processus de changement de mots de passe est inutile car nous avons d’autres moyens d’y accéder« . Fanfaronnade des pirates ?

Le 24 août, jour de la publication du communiqué de presse d’Econocom, Stormous en rajoute une couche [pourquoi tant de haine ?]. « En réalité, cette entreprise ne semble pas du tout intéressée à prévenir la fuite de données de clients, partenaires ou employés. Nous avions de nombreuses façons d’y accéder« .

Stormous affirme avoir « actuellement plus de 100 Go de données supplémentaires« . Bluff ? Vraies menaces ? Récupération des fichiers de Pyza ? Les pirates écrivent « la moitié de ces données contiennent des informations sur les employés […] Nous exprimons notre sympathie envers les personnes travaillant pour cette entreprise ou ayant une quelconque relation avec elle. Ces jours-ci, nous ne publions qu’une petite fraction du volume total de données en notre possession, au cas où la direction d’Econocom changerait d’avis et nous contacterait simplement pour résoudre ce problème. » Bref, menace et pression !

Stormous démontre aussi un élément loin d’être négligeable : ils suivent la communication de crise mise en place par les sociétés qu’ils menacent.

Econocom est présent dans 16 pays avec plus de 8 750 collaborateurs.

Au sujet de l'auteur

Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Les pirates en deuil, Anonfiles est mort

One Comment

Olivier 30/08/2023 at 17:13 Reply

Stormous démontre aussi un élément loin d’être négligeable. Ils suivent la communication de crise mise en place par les sociétés qu’ils menacent…. qu’ils menaces !!??? REALLY ???