Un fleuron de la reconnaissance et de la surveillance piraté

Les pirates du groupe Snatch infiltrent l’un des principaux fournisseurs mondiaux de capteurs haut de gamme à des fins de protection, de reconnaissance et de surveillance.

Les pirates informatiques du groupe Snatch sont « discrets« . Ils agissent, sans faire trop de bruit, même si ces derniers avaient mis en place, il y a encore peu, une site web (et pas darkweb) à destination de la presse ! Mission annoncée par les hackers malveillants, annoncer les infiltrations qu’ils avaient réussi à grands coups de diffusions de fichier volés. Des rançonneurs à l’image de LockBit 3.0. Ils infiltrent, volent un maximum de documents (sensibles comme l’explique le pirate de Netwalker lors de son audition avec la police) et espèrent toucher une rançon en échange de leur silence tout à faire relatif.

Je rappelle que les pirates stockent ce qu’ils ont volé, laissent accès à certains documents, même en cours de « négociations » du tarif demandé. Cependant, Snatch se classera dans l’état d’esprit malveillant du groupe Rex Mundi. « Snatch ne travaille pas avec des lockers ou des ransomwares. L’équipe Snatch ne crypte pas les serveurs des victimes et ne demande pas de rançon pour leur décryptage, nous ne traitons que des données d’entreprise. » écrivent-ils.

Bref, ils infiltrent, volent, classent et revendent leur silence. Ils sont pourchassés, depuis des mois. L’ICANN, par exemple, avait fait bloquer, en décembre 2021, des noms de domaines enregistrés par les pirates afin d’empêcher la diffusion de documents volés.

Snatch, c’est plusieurs centaines d’entreprises, publiques et privées, cyber attaquées depuis 2020. Sur les 122 recensées par ZATAZ en 1 an, on y croise des aéroports, comme celui de Skyxe au Canada, de l’aérospatial avec l’américain Cadence, des entreprises de la santé (en vingtaine), des géants de l’alimentaire comme McDonalds, etc. Difficile de connaître leur origine exacte. Si des experts, comme ceux de Sophos, indiquaient en 2019 que Snatch était très certainement Russes, ils n’ont jamais écrit dans cette langue, même dans des forums et espaces de discussions web et darkweb russes !

Dernier cas en date de piratage sensible, l’un des principaux fournisseurs mondiaux de capteurs haut de gamme à des fins de protection, de reconnaissance et de surveillance, Hensoldt France. Les pirates annoncent une infiltration en profondeur. Ils n’indiquent pas si une demande de rançon a été orchestrée, le contraire serait étonnant. Plusieurs milliers de documents seraient dans les mains de ces terroristes 2.0. Un piratage qui date du mois d’août 2022.

« Selon les connaissances actuelles, les deux centres de données de Nexeya en France sont concernés, les données étant exploitées et les systèmes cryptés dans une large mesure, expliquait alors le communiqué de presse de la maison mère. Les opérations en cours de Nexeya sont affectées par cette cyberattaque. Une enquête approfondie sur l’incident a été lancée immédiatement, en étroite coopération avec les autorités responsables. Un groupe de travail travaille avec des experts internes et externes et des experts en criminalistique des données pour vérifier l’origine, la portée et l’étendue de l’attaque. Parallèlement, des travaux sont menés à toute vitesse pour pour rétablir les opérations en cours de Nexeya le plus rapidement possible. Selon les connaissances actuelles, l’infrastructure informatique et les données des autres sociétés du groupe HENSOLDT ne sont pas affectées.« 

Quatre mois plus tard, les pirates sortent de l’ombre !

« Le monde a changé au point d’être méconnaissable ! Toutes les valeurs sont détruites, tous les masques sont enlevés ! a pu lire ZATAZ, il y a peu, dans un espace de discussion du groupe. Nous informons officiellement qu’il n’y a plus de tolérance et d’indulgence de notre part concernant les informations sensibles. Toutes les fuites, y compris tout type d’information critique, privée ou particulièrement importante seront publiées en cas de refus de négocier. Si auparavant nous avons essayé de filtrer les données publiées, nous refusons désormais d’utiliser la censure. » Snatch indique sauvegarder ce que ses membres ont pu voler dans différents clouds, dont certains basés « dans l’Internet chinois.«