Un assureur et un géant du nettoyage dans la tourmente des pirates d’Avaddon

Depuis la disparition d’importants groupes de pirates tels que Maze, Egregor, Pysa, Netwalker, d’autres malveillants du web ont repris un flambeau bien encombrant qu’est le rançonnage des entreprises. Derniers cas : l’assureur français SVI et le professionnel du nettoyage Québécois Qualinet.

Depuis la disparition d’importants groupes de pirates tels que Maze, Egregor, Pysa, Netwalker, d’autres malveillants tels que CUBA, Avaddon ou encore le retour de Sodinokibi et CONTI ont repris leur tâche destructrice via le rançonnage des entreprises (privées ou publiques) et des particuliers. Derniers importants cas, l’assureur français SVI et le professionnel du nettoyage Québécois Qualinet.

Pour le leader du nettoyage après sinistre Qualinet, c’est le groupe Avaddon qui a décidé de mettre en action son besogneux bulldozer de nuisance. D’abord la faille, trouver l’accès. Ensuite, l’infiltration dans les machines et l’exfiltration d’informations. Contactée par téléphone, l’entreprise indique n’avoir connu aucune intrusion, ni vol de données. « La société n’est pas pressée de coopérer avec nous et ne comprend pas bien la gravité de la situation, vous êtes les otages de la situation. » indiquent ces terroristes du web. Les pirates d’Avaddon annoncent 100GB de contenus copiés aux ressources humaines prêt à être diffusés. Qui croire ? Nous serons fixés dimanche 7 février, date que les pirates ont annoncé comme le couperet final, celui de la mise à disposition des contenus « présumés » volés.

Un assureur et ses clients dans la ligne de mire d’Avaddon

Toujours chez Avaddon, très actifs depuis une semaine (+73% d’entreprises rançonnées par rapport à janvier – Voir notre étude « Ransomware 365« ), l’assureur SVI Assurances se retrouve avec le même type de chantage. Ce dernier est annoncé se finir mardi 9 février. « La société ne veut pas coopérer avec nous, nous les avertissons […] nous ferons fuir tous leurs précieux documents, y compris les documents financiers et les données personnelles des clients » expriment ces voyous 2.0.

Ils s’amusent à rappeler que « tous les fichiers sont chiffrés et que le déchiffrement n’est possible qu’avec notre logiciel et rien d’autre.« 

Pour prouver leurs dires, des captures écrans de dossiers clients ont été mis en ligne. J’ai pu constater, entre autres, des identités, des plaques d’immatriculation, des identifiants de connexion (logins et mots de passe) permettant de se connecter à différents espaces sensibles d’assureurs partenaires.

Avvadon n’est pas le groupe le plus actif du « petit » monde des ransomware, mais son appétit vient de grossir, et ce n’est pas rassurant.

Pendant ce temps, Darkside, qui continue de se moquer de plusieurs éditeurs d’antivirus vient d’annoncer la prise d’otage de données appartenant à Wonderbox et le groupe Babuk vient de changer pour la 3ème fois en une semaine de nom. Dorénavant, c’est Babyk ! Je vous révélais derniérement le retour de Sodinokibi et la diffusion de dizaines de milliers de données clients d’une société de location de Véhicules, Ucar.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Dxenfresh Reply

    Salut ,
    Serait il possible d avoir un article sur la reactivation du botnet Trickbot ?
    Continuez comme ça, j adore ce que vous faite.

    • Damien Bancal Reply

      Bonjour,
      Effectivement, un retour qui semble faire suite aux dernieres affaires judicaires visant un code malveillant similaire.
      Et merci pour votre fidélité 🙂

  2. Pingback: ZATAZ » Diffusion d’une base de données volée à la société UCAR

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.