Ransomware et prise d’otage 2.0 pour le Ministère de l’immigration

Les ransomwares ne cessent de s’inviter dans l’informatique des entreprises. Dernier cas en date, grave, le ministère Argentin de l’immigration. Des dossiers baptisés Interpol présents dans les documents volés par les pirates.

Pas une journée sans voir tomber une entreprise, publique ou privée, dans les mains de pirates informatiques opérateurs de ransomware. Comme j’ai pu vous le révéler sur Twitter et Linkedin, Leon Grosse, une entreprise du BTP francophone à être bloquée, des documents volés. Elle rejoint Bouygues Construction, Groupe Lefebvre, Bird, Roger Martin … Plusieurs cabinets d’avocats et boutiques en lignes, comme la Québécoise Marie Claire.

Dernier cas en date grave repéré par ZATAZ, dans la nuit du 3 septembre 2020, le ministère Argentin en charge de l’immigration. Ce sont les opérateurs du rançongiciel NetWalker qui annonce l’attaque.

Ils ont laissé 7 jours à cette entité étatique d’Amérique du sud pour payer plusieurs centaines de milliers de dollars US afin de ne pas retrouver les informations volées, lors de l’infiltration malveillante qui a permis, ensuite, d’exécuter le ransomware, de finir diffusées sur la toile.

Encore une entreprise du BTP piégée par un rançonnage. Ça commence à faire vraiment beaucoup !!!!! #cybersécurité #ransomware @zataz pic.twitter.com/nPWfc026Sc

— Damien Bancal "o/" (@Damien_Bancal) September 3, 2020

Plusieurs dizaines de dossiers ont été volés aux alentours du 26 août 2020. Parmi les documents des fichiers nommé Interpol, la police internationale.

Document diffusé par les pirates. Il s’agirait des dossiers volés au ministère argentin. ZATAZ a souligné deux dossiers intitulé Interpol.

NetWalker a menacé de diffuser des données volées, au moment de l’écriture de cet article, 54 entreprises par le monde. Six françaises : dont Bolloré transport, MisterFly, Prismaflex ou encore CPM. Cette dernière menace a disparu, quelques jours après l’annonce des pirates. L’entreprise a-t-elle payé ? A noter aussi le canadien Renaissance groupe ou encore une trentaine d’entreprises américaines comme les universités de Californie et du Michigan (elles ont payé) ou encore d’importants cabinets d’experts comptables ou de crédits tel que CRE Crédit Service.

Les pirates se retrouvent avec des centaines de milliers de données clients, étudiants… qui se retrouveront tôt ou tard dans le darknet et dans des dizaines de black markets.

Le Service Veille ZATAZ a d’ailleurs, malheureusement, pu en repérer de nombreux dans les espaces pirates surveillés.

Guide de l’ANSSI

L’Agence Nationale de Sécurité des Systèmes d’Information a édité, début septembre, un guide dédié à la gestion de crise à la suite d’une attaque de rançongiciel. Des conseils et des interviews d’anciennes « victimes » sont présentés afin de mieux palier en cas de problème. « Les attaques par rançongiciels connaissent une augmentation sans précédent » confirme l’ANSSI.

Entre janvier et août 2020, l’Agence a traité 104 attaques par rançongiciels. Face à ce constat, en partenariat avec la Direction des Affaires criminelles et des grâces (DACG) du ministère de la Justice, l’ANSSI a publié ce guide de sensibilisation.

Mise à jour 10/09/2020

Les données volées au Ministère Argentin de l'Immigration diffusées. Les pirates avaient copié dans un cloud Russe #lol les documents depuis le 27/08, soit une semaine avant la seconde menace. Bref, pour ceux qui ont payé… #nocomment ! https://t.co/J9k0Lqkb9h) #CyberSecurity pic.twitter.com/jYQRB8YyMY

— ZATAZ – "o/" (@zataz) September 10, 2020

Je peux malheureusement confirmer une nombre impressionnant de données personnelles allant de l’identité au numéro de passeport. Des Européens, dont des Français, ainsi que des Canadiens.