Ransomware : le spécialiste du stockage ExaGrid apparaît avoir cédé à Conti

Les cybercriminels disent être restés plus d’un mois dans le système d’information d’ExaGrid avant de déclencher la phase finale de leur cyberattaque. Ils ont obtenu le paiement de 2,6 millions de dollars.

Mi-mai, l’opérateur d’oléoduc américain Colonial Pipeline faisait les gros titres de la presse du monde entier, frappé par le ransomware Darkside. Et cela notamment pour avoir payé la rançon demandée (près de 4,5 millions de dollars) sans que cela l’aide véritablement à accélérer la reprise de ses activités. À la même période, une autre victime américaine cédait au chantage de cybercriminels, en toute discrétion, leur versant 50,75 bitcoins, le 13 mai, soit 2,6 millions de dollars au cours d’alors. Mais là, le rançongiciel impliqué est Conti, celui-là même qui a été utilisé récemment contre le service public de santé irlandais.

La négociation, à laquelle nous avons eu accès, commence le 4 mai dernier, avec une personne se présentant comme « IT lead technician with ExaGrid Systems ». Le cybercriminel n’y va pas par quatre chemins : « comme vous le savez déjà, nous avons infiltré votre réseau et y sommes restés pendant plus d’un mois (suffisamment pour étudier toute votre documentation), nous avons chiffré vos serveurs de fichiers, serveurs SQL, et téléchargé toutes les informations importantes pour un poids total de plus de 800 Go ». Au programme, égrène-t-il : données personnelles de clients et d’employés, contrats commerciaux, accords de non-divulgation, relevés de comptes ou encore code source. Rançon demandée initialement : 7 480 000 $.

La victime souhaite tester le déchiffrement sur un échantillon. Le fichier fourni est une image : une photo de la façade d’un serveur NAS ExaGrid EX63000E. La négociation s’enchaîne. Elle durera donc jusqu’au 13 mai. Tout au long, les attaquants partageront des fichiers avec la victime, via Sendspace notamment, afin de montrer ce à quoi ils ont réussi à avoir accès. Certaines archives ainsi partagées n’ont pas encore été effacées deux semaines après la clôture de la négociation et peuvent toujours être téléchargées. 

Début des négociations entre Conti et ExaGrid.

Du côté des cybercriminels, le négociateur apparaît plus rompu à l’exercice que d’autres. Après une première offre de la victime, à plus d’un million de dollars, il répond : « merci pour vos efforts. Maintenant, je vois que nous pouvons commencer à avancer vers vous. C’est une première offre équitable et raisonnable. Nous avons maintenant une chance de négocier. Nous sommes prêts à vous faire une remise de 1 million de dollars US. Votre prix est donc désormais de 6 480 000 $ ».

Loin de jouer les gros bras comme d’autres, le négociateur des cybercriminels ajoute : « bien sûr, nous comprenons que votre travail, ici, n’est pas facile et nécessite des efforts pour convaincre les membres de votre conseil d’administration. Mais nous sommes encore loin d’un accord ».

Des fichiers proposés comme échantillon par Conti sont encore accessibles.

Une semaine plus tard, côté ExaGrid, le négociateur a relevé son offre à 2,2 M$. Les cybercriminels ont ramené leurs exigences à 3 M$. Mais là, les échanges s’intensifient, les deux parties cherchant à aboutir rapidement à un accord. Ce qui sera fait le lendemain, pour 2,6 M$. L’adresse bitcoin pour le paiement est indiquée ; le montant négocié est versé. L’outil de déchiffrement est fourni, ainsi qu’un compte du service Mega.nz où ont été stockées les données volées. Celles-ci sont aussitôt supprimées, de même que le compte correspondant.

Deux jours plus tard, toutefois, la personne chargée de la négociation pour ExaGrid demandera que lui soit à nouveau fourni l’outil de déchiffrement : « nous l’avons effacé par accident ». Le lendemain, les cybercriminels le lui proposent à nouveau au téléchargement.

La négociation se durcit et s'accélère dans sa dernière ligne droite.

Nous avons demandé des commentaires à la direction d’ExaGrid, et nous ne manquerons pas de mettre à jour cet article dès qu’ils nous parviendront. Fin décembre dernier, ce spécialiste du stockage revendiquait 7 distinctions de l’industrie et annonçait la sortie d’une nouvelle solution de restauration en cas d’attaque de rançongiciel.

Sur son site Web, au sujet de cette solution, on peut notamment lire qu’ExaGrid « offre une approche unique pour assurer que les attaquants ne peuvent pas compromettre les données de sauvegarde, permettant aux organisations d’être confiantes dans le fait de pouvoir restaurer le stockage primaire affecté et éviter de payer des rançons hideuses ».

Pour approfondir sur Menaces, Ransomwares, DDoS

Close