rançon Ransomwares cryptolocker

Maze infiltre deux fois de suite la même banque !

Les opérateurs du ransomware MAZE infiltrent deux fois de suite une banque. Onze millions de cartes bancaires auraient été volés, dont des données appartenant à des Français et Canadiens.

Les groupes pirates opérateurs de logiciels de rançonnages n’ont jamais autant diffusé d’informations sur leurs victimes que depuis ces quinze derniers jours. Comme je vous le révélais fin avril, les malveillants des groupes Maze, Sodinokibi, XXX, Doppel, Cl0P, … ont publié massivement les noms de dizaines de nouvelles victimes.

Parmi ces entreprises visées par un ransomware, puis un chantage à la diffusion de données, la banque BCR, une institution financière basée au Costa Rica. Un cas très intéressant. Il prouve, de la bouche des pirates, une méthode que ZATAZ indiquait depuis des semaines. Les pirates ont des « catalogues » de victimes qui servent de vivier à leurs actions malveillantes.

Une banque piratée deux fois en sept mois

Au mois d’août 2019, MAZE infiltrait la Costa Rica Banco (BCR), une banque d’état. « Nous avons alors mis au point de nouveaux outils et méthodes de piratage et examiné les systèmes de sécurité, expliquent les pirates. Selon le protocole des institutions financières, cette banque devait notifier les autres institutions de sa violation de sécurité. Mais rien n’a été fait. Les serveurs et les postes de travail n’ont pas été bloqués. » Maze note que les données privées n’étaient pas sécurisées. Le pirate affirme avoir arrêté son attaque au motif que « les dommages possibles étaient trop importants« .

Sept mois plus tard, MAZE est retourné dans les machines de la BCR. Preuve qu’ils ont en stock de nombreuses victimes, prêtes à être malmenées. « En février 2020, affiche Maze, nous avons procédé à une vérification de routine des systèmes auxquels nous avions accédé précédemment. Et nous avons constaté que rien n’avait été fait. Dans le périmètre de sécurité se trouvait un trou aussi grand que le tunnel sous la Manche. Nous avons décidé de ne pas bloquer la banque pendant la pandémie mondiale. » Une gentillesse ? Ne soyons pas dupe !

Les pirates ont copié toutes les informations qu’ils ont pu trouver, dont l’historique des transactions, les cartes de crédit … « Nous avons obtenu plus de 11 millions d’informations sur les cartes de crédit. Plus de 4 millions de ces cartes de crédit sont uniques. 140 000 appartiennent à des citoyens américains« .

J’ai été leur posé la question à savoir si des francophones se trouvaient dans les informations volées : « Il existe des cartes françaises/canadiennes dont on ne peut pas connaître le nombre exact. Nous n’avons pas le nombre exact« .

Maze indique que des données bancaires de Francophones sont dans les informations qu’ils ont collecté. – Source: zataz.com

Ils ont diffusé sur leur site, 11 mails internes à la BCR et un fichier qui semble être un document comptable lié à des transactions bancaires.

Des données à vendre dans le black market ?

Des informations bancaires qui trouveraient rapidement preneurs dans le marché noir numérique et rapporter quelques millions de dollars. « Mais l’équipe de Maze ne vend pas les informations privées, ne vole pas l’argent des utilisateurs. Nous essayons d’alerter les gens et les institutions financières sur la mauvaise sécurité. Nous essayons de nous concentrer sur les failles de sécurité qui affectent non seulement la Banco BCR mais aussi d’autres institutions financières dont les cartes de crédit ont été traitées par la Banco BCR. » Maze s’annonce comme un lanceur d’alerte ? Voilà qui est nouveau ! Mais – rassurez-vous -, ils reviennent malheureusement rapidement à leurs fondamentaux : menacer de diffuser des documents voler. « Nous publierons également toutes les informations […] si nous n’avons pas été contactés. Cela signifie que les 11 millions de numéros de cartes de crédit et autres justificatifs d’identité seront publiés. » Totale contradiction avec ce qu’il racontait, en premier lieu !

Pendant ce temps…

Les pirates de Doppel diffusent des informations volées à la banque kosovar Ekonomike ; Sodinokibi, des données bancaires de plusieurs entreprises Britannique, Américaine et Luxembourgeoise ; Un autre groupe lâche 10Go d’informations volées au groupe pétrolier mexicain W&T Offshore « Un petit apéritif de 10 Go de données de WT sur les 800 d’archives volées à cette société. À la fin de la fuite, vous en saurez plus sur WT qu’ils n’en savent eux-mêmes » indique le pirate ; Un dernier a mis en ligne plus de 18 000 mails appartenant aux employés du laboratoire pharmaceutique Execupharm et 162GB de fichiers.

D’autres pirates ont diffusé des milliers de documents internes volés, comme ici pour une société spécialisée dans l’électronique. – Source: zataz.com

Certaines entreprises piégées par un ransomware ont eu plus de chance à l’image de la société française Groupe Tech Industries. Les pirates indiquent une infiltration le 18 avril, sans diffusion de données volées. Le « coming soon » reste cependant inquiétant !

Selon les informations de ZATAZ, MAZE menace et/ou a menaçait depuis le 1er janvier 2020, 123 entreprises ; Sodinokibi, 24 … Il ne s’agit que des entreprises victimes d’un chantage à la diffusion de leurs documents volés. Nous n’osons imaginer le nombre de sociétés rançonnées. Les opérateurs de Shade ont démontré que le chiffre pouvait dépasser les 700 000 victimes.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr
  1. Pingback: ZATAZ » Diffusion des données volées à la Communauté d’Agglomération Ardenne Métropole

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.