Ransomware : Revil essaie, en vain, d’extorquer 4 millions de dollars à Tata Steel

Les opérateurs du ransomware Revil/Sodinokibi viennent d’ajouter le groupe sidérurgique indien à la liste de leurs victimes. Celui-ci semble avoir décidé de refuser de céder à leurs demandes, de 4 millions de dollars initialement.

Les cyberdélinquants aux commandes du ransomware Revil, aussi connu sous le nom de Sodinokibi, viennent de revendiquer une attaque réussie contre l’Indien Tata Steel.

Pour étayer leurs allégations, les attaquants présentent, sur une page de leur blog, plusieurs dessins techniques produits avec Autocad, et affichant, dans le cartouche, les noms de Tata Steel et de Primetals Technologies qui apparaît être le donneur d’ordre pour les pièces concernées. Les documents présentés par les assaillants font référence à l’usine Tata Steel de Kalinganagar, dans l’état d’Odisha, sur la côte Est du sous-continent.

Nous avons trouvé l’échantillon du rançongiciel correspondant. Celui-ci laisse entrevoir un déclenchement des opérations de chiffrement autour du 25 mars, avec une demande de rançon initiale de 4 millions de dollars, doublée ultérieurement. Le groupe sidérurgique ne semble pas avoir engagé la moindre conversation.

Capture d'écran de la page de revendication des attaquants.
Capture d'écran de la page de revendication des attaquants.

Mais les prétentions des cyberdélinquants apparaissent étonnamment modestes pour une victime ayant déclaré un chiffre d’affaires de plus de 7 mds €, pour son exercice clos le 31 mars 2020. Pour mémoire, dans le courant du mois de mars, nous avons observé plusieurs demandes de rançon par des affiliés de Revil à plus de 10 millions de dollars, et jusqu’à 50 M$ contre Acer. Douze millions de dollars ont été récemment demandés à Asteelflash.

Capture d'écran de la page de négociation de Revil pour Tata Steel.
Capture d'écran de la page de négociation de Revil pour Tata Steel.

De quoi laisser imaginer que l’attaque contre Tata Steel a, soit été l’œuvre d’un affilié de Revil/Sodinokibi plus raisonnable que d’autres, soit n’a pas été une franche réussite.

Nous avons sollicité le sidérurgiste indien pour en savoir plus sur l’étendue de la compromission, la quantité de données dérobées, et l’impact opérationnel de l’attaque. Nous ne manquerons pas de mettre à jour cet article lorsque ses réponses nous parviendront.

Avec Tata Steel, le groupe Revil/Sodinokibi semble passer la barre des 300 victimes, dont plus de 220 sont ouvertement connues.

Pour approfondir sur Menaces informatiques

Close