Piratage pour le groupe Altice (SFR)

Des pirates informatiques s’infiltrent dans le service administratif du groupe Altice et exfiltrent des milliers de documents internes que ZATAZ a pu constater.

Le groupe de pirates informatiques HIVE (qui est TRES proche des pirates de Ragnar et Donut) vient d’annoncer son passage dans les serveurs du groupe Altice, la maison mère de l’opérateur téléphonique SFR.

Selon les informations collectées par ZATAZ, cyber attaque débutée le 8/9 août. Les malveillants n’indiquent pas depuis combien de temps ils étaient dans la place. Ils affichent cependant l’heure de la cyber attaque : 22h36. Les machines restent ouvertes à cette heure tardive chez Altice ?

Chose est certaine, le ransomware semble être passé par un mail/phishing. Hive serait passé par un service administratif (la comptabilité ou les RH ?) de ce géant des télécom.

Après la tentative de se faire payer un rançon, Hive a d’abord espéré vendre les données dans le blackmarket, le marché noir des données piratées. Une des sauvegardes de Hive que j’ai pu constater est datées du 11 août.

Les pirates n’auraient diffusé que 25% des données volées !

Depuis, les hackers malveillantes de Hive ont diffusé, ce 25 août 2022, plusieurs milliers de documents exfiltrés durant leur attaque.

ZATAZ a pu constater des dossiers et documents aux noms sans équivoques : Account, consolidation, confidentiel, sociétés, évaluation, conges, arrêt maladie, etc. Certains dossiers proposent des données courant de 2018 à 2022.

C’est le second « gros » opérateur télécom français a été attaqué de la sorte. En juillet, la Poste Mobile (et surtout des dizaines de milliers de clients) tombait sous les griffes du groupe LockBit 3.0.

Le Service veille de ZATAZ a déjà repéré des centaines de milliers de données appartenant à des français, diffusées et utilisées par des pirates.