Ransomware : après Compal, Foxconn se fait à son tour piéger par DoppelPaymer

Ce lundi 7 décembre, le groupe opérant le ransomware DoppelPaymer a commencé à publier, sur son blog, des données présentées comme dérobées à Foxconn NA, à savoir la branche nord-américaine de l’incontournable industriel de l’électronique. Dans le texte d’accompagnement, ils font référence à la Wisconn Valley, ce qui renvoie à l’investissement considérable consenti par Foxconn, en 2018, pour implanter des usines dans l’état du Wisconsin. Celles-ci devaient notamment servir à l’assemblage d’écrans LCD, mais une récente enquête de nos confrères de The Verge met en doute la concrétisation du projet.

Selon nos confrères de Bleeping Computer, une cyberattaque aurait en fait touché le site de Foxconn CTBG, à Ciudad Juárez, au Mexique, autour de la fin novembre. C’est là que l’industriel assemble et expédie de nombreux produits à destination de l’Amérique du Nord comme du Sud, depuis 2005, profitant de la proximité de l’état voisin du Texas.

Le site Web dédié à cette implantation est actuellement indisponible. Il apparaît animé par Apache Tomcat. La dernière fois que le moteur de recherche spécialisé Shodan l’a vu opérationnel, c’était le 27 novembre. En outre, selon Onyphe, Foxconn exposait jusqu'au 22 avril, au moins, un système Citrix/Netscaler Gateway affecté par la vulnérabilité CVE-2019-19781, dite Shitrix, qui a été fréquemment utilisée dans le cadre de cyberattaques de ransomware. Nos confrères indiquent que les cyberdélinquants ne demandent rien moins que près de 35 M$ de rançon, leur laissant 21 jours pour céder. Ceux-ci affirment avoir chiffré un millier de systèmes, volé 100 Go de données, et détruit quelques dizaines de téraoctets de sauvegardes.

Foxconn n’est pas le premier acteur majeur de la chaîne logistique de l’industrie IT mondiale à se faire attaquer – avec succès – par des cyberdélinquants, à coup de rançongiciel. Début novembre, Compal, le second plus gros ODM (Original Design Manufacturer), sous-traitant de nombreux constructeurs d’ordinateurs, s’est ainsi fait piéger… par les opérateurs de DoppelPaymer, déjà. À celui-ci, ils réclamaient près de 17 M$.

Mais Compal semble avoir décidé de tenir tête à ses assaillants. Ces derniers ont commencé à divulguer des données dérobées à l’occasion de l’attaque, dès le 16 novembre dernier. Ils ont procédé à une nouvelle mise à jour de lot de données, qu’ils diffusent ce lundi 7 décembre au soir, avec essentiellement des archives au nom évoquant des éléments comptables et fichiers. À cela s’ajoute la liste des machines apparemment connues du contrôleur de domaine compromis lors de l’attaque : près de 110 000 hôtes, dont des systèmes Windows Server 2003…

En France, les opérateurs de DoppelPaymer se sont notamment illustrés par les attaques, en 2020, ayant visé Bretagne Télécom, l’Afpa, Roger Martin, Ardenne Métropole, Logéal Immobilière, Foussier, la commune de Mitry-Mory. Ainsi que Innelec, les laboratoires Bailly-Créat, l’association Caminante, le logisticien ICT, ou encore Homeperf.