Fuite de données CityComp : un faux site de la Société Générale sur le même serveur du pirate

Posted On 12 Mai 2019

Tag: filoutage, hameçonnage, infiltration, Internet of Things, Rex Mundi

Vous avez très certainement du entendre parler du chantage numérique vécu par la société CityComp. Leurs données volées, un pirate a tout diffusé. Il souhait faire payer son silence! ZATAZ découvre d’autres fichiers intrigants sur le serveur exploité par le pirate. L’un d’eux est signé « Société Générale ».

Fin avril 2019, un pirate informatique baptisé Snatch, diffusait une demande de rançon pour ne pas divulguer les informations concernant plusieurs entreprises, dont la société Allemande CityComp. Une agence de communication, un groupe financier d’Arabie saoudite ou encore ce spécialiste Allemand du numérique. Des milliers de données clients volés. Dans la liste des clients de CityComp : Airbus, Atos, British Telecom, Dekra, Edeka, Ericsson, Hugo Boss, Kaufland, Oracle, Leica, Rewe, SAP, T-Systems, Toshiba, Unicredit, Volkswagen ou encore le groupe hôtelier NH.

Le pirate réclamait plusieurs dizaines de milliers d’euros pour son silence, et pour ne pas diffuser les informations. Plus de 300 000 fichiers. Le pirate n’a pas expliqué comment il avait eu les informations. S’est-il invité dans l’un des 70 000 serveurs que gère CityComp ? Une faille dans le système de gestion de plus de 500 000 machines (imprimantes, caisses enregistreuses, stations de travail, ordinateur) pris en charge par l’entreprise teutonne ?

ZATAZ a pu constater 516Gb d’informations financières et privées sur l’ensemble des clients. Un fichier, une fois décompressé, regroupant 312 570 fichiers, repartis dans 51 025 dossiers. Autant dire qu’en téléchargement, ça n’aurait pas du passer inaperçu. À moins que cette infiltration durait depuis des mois. Des informations qui auraient du être chiffrées !

Le pirate a place les données volées sur un site baptisé citycompde.com [aujourd’hui fermé].

Snatch et ses amis

L’hébergement de citycompde.com, une adresse IP [185.87.187.198 au moment des faits], entrepose bien plus que les fichiers dérobés.

ZATAZ a pu repérer, par exemple, un faux site aux couleurs de la société Générale. L’url directeur se nommait msocietegenerale*fr [fermé]. Pour rappel, le site original est m.societegenerale.fr. Les pirates ont joué sur une typosquatting. Pas de point (.) entre le m et societegenerale.fr.

Dans ce faux site, un espace phishing, mais aussi la possibilité de télécharger un PDF piégé : « msocietegenerale*fr/fr/cg_service_bancaire_mars_2019.pdf« .

Sur ce même serveur, toujours actif au moment de l’écriture de cet article (10/05), la possibilité de télécharger, via une publicité malveillante, le fichier baptisé vDosSetupe.exe. Un code pirate comme le montre notre analyse via Virus Total. D’autres faux sites y étaient présents comme un spécialiste du fitness, CoreFit. La filiale espagnole visée.

Un autre domaine, toujours cachée derrière cet IP, ternser.com. Utilisé pour phishing Paypal. [http://account-verification-paypal*ternser*com/index.php]. L’ensemble des noms de domaine enregistrés chez Registrar.eu.

Des centaines de milliers de clients impactés

A noter que le pirate de CityComp a tenté de faire chanter d’autres entreprises. Comme a pu le constater ZATAZ, dans la ligne de mire du pirate Snatch : BMK. Entreprise saoudienne [bmk.com.sa]. Elle regroupe Jubail Development Company, Al Dammam Development Company, Saudi Al Mushtaraka Company et Bait-Al-Maal Khaliji. L’infiltration a permis le vol de l’ensemble des fichiers clients, soit 97 065 fichiers dans une archive de 70Gb.

Même sanction pour KCSA (kcsa.com – agence de communication) : l’ensemble des clients, soit 188 043 fichiers (244gb) ;

La société de services Myatt Blume & Osburn, Ltd., LLP (myattcpa.com – 82 673 fichiers) ou encore la société d’équipements miniers Tecnicas Hidraulicas (thsa.com – 13 152 fichiers).

La méthode de Snatch ressemble fortement à celle employée par Rex Mundi ou encore Dark Overlord, en leur temps.

Pendant ce temps, un autre maître chanteur du nom de Fxmsp annonçait sur la toile être en possession des secrets de trois éditeurs d’antivirus américains. Il réclame 300 000$ pour son silence ! Il disposerait de codes sources liés au développement logiciel des entreprises visées.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.