Cyberattaque : Reorev, spécialiste français du génie mécanique, est frappé par le groupe LV

Ce spécialiste du génie mécanique, partenaire de Thales, Safran, SKF, ou encore Eiffage et Michelin, vient d’être attaqué par ransomware sous l’action du récent groupe LV. Lequel semble employer divers rançongiciels.

Sur son blog, le groupe LV revendique depuis ce 28 avril au matin le vol de quelque 400 Go de données à Reorev. Joint par téléphone, ce Français spécialiste du génie mécanique, basé en Touraine et en Anjou, reconnaît bien une attaque par ransomware. Ses équipes, épaulées d’experts en cybersécurité, apparaissent pleinement mobilisées.

La date de la détonation du rançongiciel ne nous a pas été précisée. Mais elle pourrait être survenue durant le week-end ou ce mardi 27 avril. Le groupe LV a commencé à publier quelques données à titre d’échantillon. Celles-ci semblent stockées par les attaquants depuis le 20 avril et laissent entrevoir une compromission de serveur Exchange et le vol d’un éventail varié de fichiers. Mais à ce stade, rien dans cet échantillon ne laisse à craindre la compromission de données des clients et partenaires de Reorev. Et les noms prestigieux ne manquent pas : Safran, SKF, Delphi, Schneider Electric, Eiffage, Fareva, Atlantic – lui-même victime de ransomware en décembre dernier –, Mecachrome, Michelin, ST Microelectronics, ou encore Valeo.

Page de revendication de l'attaque contre Reorev sur le site du groupe LV.

Le groupe LV est apparu relativement récemment, mais n’a encore que peu fait parler de lui directement. Le chercheur Michael Gillespie avait trouvé, à l’automne dernier, un échantillon du ransomware Sodinokibi, piloté par le groupe Revil, qui renvoyait vers une page Web personnalisée faisant référence au groupe LV.

Depuis, ce groupe a mis en place son propre site Web caché où il présente ses victimes, divulguant au compte-gouttes des données dérobées à l’occasion des cyberattaques. Récemment, le groupe LV a ainsi affirmé détenir des données volées à Ken’s Foods Inc. Une victime également revendiquée sur le site Web caché de Darkside, en date du 17 mars 2021. Sur son site, le groupe LV indiquait s’apprêter à publier les données volées le 23 mars. Dans les deux cas, le volume revendiqué est le même : plus de 400 Go.

Pour approfondir sur Menaces informatiques

Close