Orlando Bellini - Fotolia

Ransomware : le groupe Egregor revendique la cyberattaque sur Ouest-France

Les cyberdélinquants viennent de mettre un terme à une communication qui s’efforçait jusqu’ici d’éviter d’employer le mot rançongiciel, contre toute évidence. Le montant demandé n’est pas connu.

C’était un secret de polichinelle ardemment caché : le groupe SIPA-Ouest France, avec sa filiale Publihebdos, a été frappé par un ransomware, dans la nuit du 20 au 21 novembre. Jusqu’ici, et encore ce 23 novembre, il s’évertuait à ne parler que de cyberattaque – sans évoquer le terme rançongiciel – malgré toutes les indications pointant dans la direction d’une attaque de ce type.

Le groupe aux commandes du ransomware Egregor vient en effet de revendiquer l’opération, diffusant au passage une première archive de 90 Mo présentée comme représentant 1 % du volume de données collectées lors de l’attaque, avant la détonation du rançongiciel.

Mais dès lundi, nos sources faisaient état de ce qui ressemblait déjà à un secret de polichinelle : l’implication d’Egregor dans l’attaque. Seul l’échantillon correspondant manque à l’appel et reste, pour l’heure, introuvable, selon nos recherches. C’est lui qui donne accès aux informations permettant d’engager la conversation avec les assaillants et de prendre connaissance de l’ampleur de leurs demandes. Voire d’y céder.

Pourtant, François-Xavier Lefranc, rédacteur en chef de Ouest France, l’assurait à nos confrères de 20 Minutes il y a quelques jours, parlant alors de « virus assez redoutable » : « pas question de rançon ». Et à France 3, il expliquait : « on a un travail de diagnostic qui va être long ». Dans les faits, la nature réelle de la cyberattaque ne pouvait guère faire de doute.

Exemple de note de rançon d'Egregor.

Une note des assaillants était déjà accessible aux équipes du groupe SIPA-Ouest France, sur les premières machines chiffrées. Dans celle-ci, les opérateurs d’Egregor ne formulent effectivement pas de demande de rançon explicite : ils fournissent à leur victime un moyen d’engager la négociation, et l’y invitent expressément, menaçant de rendre l’incident public après quelques jours.

Pour lancer le dialogue, la victime doit téléverser la note de rançon qui ne dit pas son nom dans un espace de dialogue dédié, opéré par les négociateurs des assaillants : c’est une première étape leur permettant de s’assurer qu’ils discutent bien avec leur victime ou son représentant. C’est à partir de ce moment-là que peuvent commencer les discussions autour de la rançon et de son montant. 

L'état de la menace fin novembre 2020.

Cette revendication a été faite en même temps que 24 autres, dans lesquelles apparaissent trois autres entreprises françaises, ajoutées à la frise chronologique ci-dessous. Apparu début septembre, Egregor s’est illustré par des victimes telles qu’Ubisoft ou Gefco. Surtout, le groupe (ex-Sekhmet) apparaît particulièrement agressif, profitant de l’arrêt des activités de Maze et du report de certains de ses partenaires délinquants. Au 26 novembre, on compte 111 victimes connues d’Egregor à travers le monde, pour le mois de novembre, contre 55 en octobre et 18 en septembre. Soit un total de 184, au moins. 

Pour approfondir sur Menaces, Ransomwares, DDoS

Close