Ransomware : Maze menace d’extorsion au-delà de ses victimes

Mi-février, l’heure de la reprise semblait approcher chez Bouygues Construction. Le groupe, qui avait été attaqué par le rançongiciel Maze fin janvier, apparaissait alors relancer déjà sa messagerie électronique, non sans avoir procédé à un travail de nettoyage de ses annuaires.

Parallèlement, Bouygues Construction a semblé faire la sourde oreille aux demandes de rançon des cyberdélinquants aux manettes derrière Maze, le groupe TA2101. Ceux-ci ont graduellement mis en ligne plusieurs archives de documents dérobés. 

Mais surprise début mars : pendant quelques jours, la page consacrée à Bouygues Construction n’était plus accessible sur le site Web de Maze. Cette situation n’a toutefois duré que peu de temps. Et le groupe TA2101 apparaît aujourd’hui furieux.

Le 20 mars déjà, les opérateurs de Maze mettaient Bouygues Construction à l’index dans un communiqué publié sur leur site Web, moquant la réaction qu’aurait eue, selon eux, le président du groupe à leurs approches. Et d’alléguer, au passage, du recours à des négociateurs.

Manifestement remontés, les opérateurs de Maze ont relancé la charge, hier 8 avril, dans un communiqué de presse entièrement centré sur Bouygues Construction. Là, ils font état d’un périmètre de sécurité « géant », si vaste « qu’il a été possible de télécharger 200 Go de données privées en seulement deux jours ». Une période durant laquelle, toujours selon les attaquants, les équipes de sécurité de leur victime « n’ont même pas vérifié l’activité énorme au sein du réseau de l’entreprise ». Surtout, Maze l’assure : « toutes les brèches au sein du périmètre de sécurité sont toujours ouvertes ».

« Notre système d’information a été restauré avec toutes les exigences de sécurité nécessaires pour nous protéger et protéger nos partenaires. »

Dans un échange avec la rédaction, un porte-parole de Bouygues Construction apparaît s’inscrire en faux de ces allégations, sans oublier toutefois une certaine prudence : « notre système d’information a été restauré avec toutes les exigences de sécurité nécessaires pour nous protéger et protéger nos partenaires. Et nous restons dans une démarche d’amélioration continue ».

Plus loin, les opérateurs de Maze reprennent leur partition sur le président de leur victime, faisant à nouveau état de négociations avortées. Sur ce point, Bouygues Construction continue de privilégier le silence : « nous n’avons aucun commentaire à faire sur de telles allégations. Les informations utiles sont dans les mains des autorités compétentes », indique son porte-parole.

Mais voilà, les opérateurs de Maze ont franchi une étape supplémentaire dans leur chantage mafieux : « nous avons accès à certains de vos partenaires commerciaux au travers de votre réseau. Et certains d’entre eux seront assurément attaqués ». Coup de bluff ou expression de l’assurance totale d’une remarquable furtivité ?

« [Les groupes de cyberdélinquants] ne se contentent plus de tenir en otage les données de leurs victimes, ils les utilisent comme des armes. »

Pour Brett Callow, analyste chez Emsisoft, il faut y voir un message, mais moins à l’intention de Bouygues Construction que des autres victimes, passées et à venir, de Maze, « un avertissement ». Car les groupes de cyberdélinquants « ne se contentent plus de tenir en otage les données de leurs victimes, ils les utilisent comme des armes ».

Une raison pour verser la rançon demandée ? Pas vraiment. Brett Callow le soulignait précédemment : céder à la tentative d’extorsion « ne revient à payer que pour une promesse que les cyberdélinquants effaceront leur copie des données. Mais pourquoi une entreprise mafieuse effacerait-elle des données qu’elle pourrait monétiser à nouveau ? »