Les pirates de Bolloré diffusent des données

Le groupe Netwalker débute la troisième phase de son chantage numérique à l’encontre de Bolloré : la diffusion d’informations volées.

Le 24 mai 2020 je vous expliquais l’implication des pirates informatiques cachés derrière le ransomware NetWalker dans le piratage et la mise en place d’un chantage numérique à l’encontre de la société Bolloré. Les malveillants avaient infiltré une filiale du groupe français : Transport et Logistics en République Démocratique du Congo (RDC). Ce groupe a automatisé l’ensemble de son processus malfaisant. Il infiltre, dérobe un maximum de documents, lance le chiffrement des machines. Finalité, réclamer une rançon.

Mais ces voyous 2.0 ne laissent aucun répit aux victimes. Si les pirates tels que Maze, Cl0p, Ragnar, Sekhmet, XXX, … menacent sans « trop » en rajouter, Netwalker affiche un compte-à-rebours dans sa menace. A la seconde fatidique apparaissent automatiquement liens et mots de passe permettant de télécharger des contenus volés. Cela démontre un élément loin d’être négligeable, durant la seconde phase de cette cyberattaque, le chantage à la divulgation, les fichiers sont déjà téléchargés dans des cloud tels que Mega.nz, Drop me files, Anonfiles …

Les pirates de NetWalker diffusent des centaines de documents volés. Source: zataz.com

Dans le cas de la filiale transport Bolloré, des centaines de documents bancaires, des fichiers d’employés, des documents comptables avec des commentaires sur les partenaires, les processus du règlement des factures … Une mine d’or d’informations pour les professionnels de la Fraude aux faux virements. Les pirates expliquent cette diffusion ainsi « Nous nous excusons devant tous les clients de Bolloré et tous ceux qui ont utilisé ses services pour publier vos données personnelles. Nous regrettons que Bolloré et les régulateurs ne se soucient pas de leurs clients et de leurs données personnelles. » Le fameux double effet RGPD ! Les pirates annoncent des diffusions, chaque semaine.

Même diffusion malveillante pour la société française Porcher Industries. Les pirates ont mis en ligne plus de 800 Mo de documents comptables.

À noter que Sodonikobi affiche, depuis le 1er juin, un compte à rebours, et une nouvelle section baptisée « Auction » qui affiche les montants demandés dans une vente aux enchères des données !

Les pirates proposent de placer des enchères pour acheter les données volées ! – Source : zataz.com

Обращение добавлено!

Pendant ce temps, les autres groupes pirates continuent, eux aussi, ce travail de sape. La manufacture Suisse Stadler (8 500 employés dans le monde) spécialisé dans les trames de train/métro et le brésilien Arteris, gestionnaire d’autoroutes se retrouvent dans le piège de Nefilim. Doppel menace six nouvelles entreprises dont le britannique Elexon.

Cette société anglaise a lancé une communication de crise (site web, courriel, …) et indique « Nous avons identifié la cause profonde [de la cyberattaque] et résolvons maintenant le problème. Comme nous ne détenons aucune donnée au niveau des clients, il n’y a aucun risque pour le public. » et devinez ce qu’a fait Doppel ? Diffusion de documents personnels comme des pièces d’identités (passeports, …) !

Selon mes constatations, Doppel possède, via la trentaine d’entreprises affichées, plusieurs milliers de dossiers appartenant à des entreprises partenaires des « premières » victimes. Dans le lot, des dizaines de clients de cabinets d’avocats et de cabinets comptables.

De nombreuses données volées sont stockées chez l’hébergeur DropMyfiles. – Source : zataz.com

Les avocats et l’agroalimentaires, cibles de luxe pour les pirates

Sodinokibi continue ses menaces, de plus en plus ciblées « monde juridique » et « agroalimentaire« . Du côté « juridique », les informations de la chanteuse Madonna ont été mises aux enchères, le 25 mai 2020 : 1 million de dollars, prix de départ. Les pirates annoncent de nouvelles données à télécharger dans les heures qui viennent !

Les cabinets d’avocats dont les données ont été prises en otage se retrouvent avec des demandes de rançons allant de 42 millions de dollars à 100 000 $ US. Ce même groupe avait menacé TRUMP de révélation. Depuis, la menace a disparu ! Quelqu’un (un inconnu, l’équipe Trump, Services Secrets US, …) semble avoir acheté les informations.

Sodinokibi menace deux nouveaux géants de l’agroalimentaire. Le Canadien Agromart et l’Américain Sherwood Food & Harvest Distributors. Les pirates ont mis à prix 100.000$ les informations.

Chez Ragnar, la société Brunerworks & Bhivelab se retrouve dans les mailles du filet des voyous. Ces derniers ont analysé les téras de données volées. Ils ont diffusé un document lié à la gestion d’une crise numériques et les process attenants, ainsi que l’affichage de la base de données clients avec les identités, adresses, …

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.