Ransomware : la litanie des victimes se poursuit sans relâche

En l’espace d’une semaine, celle de Noël, les opérateurs de rançongiciel ont revendiqué plus d’une quarantaine de cyberattaques réussies, sur des victimes aux profils toujours aussi variés, dont plusieurs en France.

Le 21 décembre, le Centre Hospitalier Albertville-Moûtiers indiquait avoir été victime d’un ransomware, paralysant une grande partie de son système d’information. Ce n’est pas la seule institution de santé à avoir allongé la liste des victimes de rançongiciel la semaine dernière : il y a aussi les Leon Medical Centers, outre-Atlantique. Mais dans le cas de ces derniers, l’attaque, menée par les opérateurs de Conti, est en fait survenue début novembre. Rien en revanche sur la date précise de l’attaque dans laquelle Revil a piégé le centre de chirurgie plastique The Hospital Group outre-Manche.

Dans la longue liste des victimes de la semaine passée, il faut ajouter le spécialiste du travail temporaire Adecco (Egregor), Whirlpool (Nefilim), ou encore Portnox, un spécialiste israélien du contrôle d’accès réseau (NAC). Il a été frappé par les opérateurs du ransomware Pay2Key, soupçonnés d’être liés au groupe APT iranien Fox Kitten, qui menacent d’utiliser les données volées pour aller frapper les clients de Portnox. Et compte tenu des habitudes du groupe concerné, il faut probablement s'attendre à une divulgation rapide des données dérobées et à une mise à exécution tout aussi rapide des autres menaces.

Ce n’est pas le seul acteur de la cybersécurité frappé par un rançongiciel la semaine dernière. Il faut aussi compter avec le Exclusive Networks qui, en France, distribue notamment les produits et services d’Alsid, Exabeam, Extreme Networks, Forescout, Fortinet, Gigamon, Guardicore, Imperva, Infoblox, Nozomi Networks, Okta, One Identity, Palo Alto Networks, Proofpoint, SentinelOne, Tufin, ou encore Vectra. C’est le groupe Egregor qui revendique l’attaque, diffusant une première archive représentant, selon lui, 10 % du volume de données dérobées.

Exclusive Networks n’était pas disponible pour répondre à nos questions au moment de la parution de ces lignes. Nous ajouterons leurs commentaires dès qu’ils nous parviendront. L’un de leurs partenaires nous a indiqué avoir été averti, mais avec une communication très limitée.

Toujours en France, les opérateurs du ransomware DarkSide ont revendiqué la veille de Noël une cyberattaque contre le groupe E.C.S. Ce dernier se présente comme « un acteur de référence dans l’accompagnement des entreprises et des collectivités dans leurs projets de transition numérique ». Les cyber-délinquants revendiquent le vol de plus de 50 Go de données.

Enfin, les opérateurs du rançongiciel Avaddon viennent d’indiquer avoir dérobé plus de 90 Go de données à la mairie de Marolles-en-Brie. Ils donnent 10 jours à la municipalité avant de commencer à divulguer les données. Personne n’était disponible à la mairie pour répondre à nos questions. Nous les avons adressées au cabinet du Maire par e-mail et ne manquerons d’ajouter leurs réponses à cet article lorsque nous les recevrons.