Ransomware : Inserm Transfert vient allonger la liste des victimes de Conti

Nos confrères du Point le révélaient en fin de semaine dernière : le 18 juin, Inserm Transfert a « détecté » une cyberattaque. Comme elle l’explique sur son site, cette filiale privée de l’Institut national de la santé et de la recherche médicale, fondée en 2000, est « spécialisée dans le transfert de technologies en sciences de la vie et dans la recherche de financements collaboratifs ».

Sur fond de pandémie de Covid-19, les motivations de cette cyberattaque peuvent naturellement interroger. Mais il semble bien qu’il ne s’agisse là que de cybercriminalité motivée financièrement. De fait, les opérateurs du ransomware Conti viennent de revendiquer l’attaque sur le site vitrine où ils présentent leurs victimes qui ont refusé de céder au chantage. Ils ne fournissent aucune précision quant au volume et à la nature des données dérobées.

Selon nos confrères, la direction d’Inserm Transfert a déposé une plainte trois semaines après le déclenchement du chiffrement et déclaré « soupçonner un vol de données numériques, en vue d’une revente sur le dark web ».

Le mode opératoire des attaquants n’a pas été précisé. Mais selon nos observations, Inserm-Transfert opère un serveur Exchange qui était encore affecté par le lot de vulnérabilités dit ProxyLogon le 19 mars dernier.

Le plus surprenant ici est peut-être la rapidité avec laquelle les opérateurs de Conti ont revendiqué leur attaque. Ce 19 juillet, ils ont ainsi affiché un lot de plusieurs nouvelles victimes, dont certaines ont fait les frais de leur agressivité il y a déjà plusieurs mois. Parmi celles-ci, on trouve ainsi Infovista, qui a été attaqué fin avril, on encore Cegos, qui l’avait été quelques jours plus tôt.