LDLC : ce précieux indice fourni par les attaquants de Ragnar Locker

Ce 29 novembre, le groupe LDLC a publié un communiqué de presse évoquant un « incident de cybersécurité ». Selon ce communiqué, l’incident a été « détecté » et a « entraîné un accès non autorisé aux données de l’entreprise », mais « n’a pas eu d’impact sur les opérations commerciales du Groupe ».

Plus loin, peut-on lire dans le communiqué du groupe, « cet incident fait l’objet d’une analyse approfondie de la part des experts et des partenaires sécurité du Groupe, qui ont immédiatement pris les dispositions nécessaires pour renforcer les mesures de protection déjà existantes, minimiser les éventuelles conséquences et en rechercher les origines ». Selon LDLC, « certaines données à caractère personnel ont pu être consultées » par les intrus, mais « cela ne concerne en aucun cas les informations sensibles relatives aux clients des sites internet marchands du Groupe ».

En toute vraisemblance, l’incident n’a probablement été « détecté » que lorsque les attaquants ont lancé le chiffrement de données et de systèmes auxquels ils avaient accès.

Car ledit incident a été provoqué par Ragnar Locker, qui s’en était pris, l’an dernier, à CMA-CGM ainsi qu’à Dassault Falcon Jet, notamment. Le groupe de cyberdélinquants vient de revendiquer, sur son site accessible via Tor, l’attaque contre LDLC. Il propose déjà au téléchargement deux archives de données compressées pour un total d’environ 30 Go.

Ragnar Locker appuie en outre ses revendications de captures d’écran suggérant que ses membres ont eu accès à l’infrastructure vSphere de LDLC. Surtout, les attaquants ont publié une capture d’écran qui devrait se révéler être un indice précieux pour le groupe d’e-commerce et ses partenaires impliqués dans la gestion de la crise : celle-ci a été prise via un accès RDP à un poste de travail d’une personne impliquée dans la gestion de la situation et montre des échanges de l’équipe sur Teams.

En somme, avec cette capture, les cyberdélinquants montrent à LDLC qu’ils ont encore un large accès à son système d’information, à ses postes de travail. Ils indiquent que la compromission est potentiellement bien plus étendue que cela n’avait été initialement soupçonné, et que les accès dont ils disposent n’ont pas encore été correctement identifiés et bloqués.

Et de rappeler au passage ce que soulignait Jérôme Saiz, du cabinet Opfor Intelligence, début septembre 2019 dans nos colonnes : « dans une crise cyber, il faut considérer que l’on n’a plus confiance en ses moyens de communication ».

Ragnar Locker a également publié des captures d’écran suggérant que le groupe s’est intéressé de près à l’infrastructure virtualisée de LDLC. L’attaque pourrait d’ailleurs avoir commencé avec l’exploitation de la vulnérabilité CVE-2021-21985 : LDLC exposait, sur Internet, entre mi-septembre et début novembre, un hôte embarquant, selon le moteur de recherche spécialisé Shodan, une version d’ESXi 6.5 datant de novembre 2019, suggérant une instance de VMware vCenter Server affectée par cette vulnérabilité. Cette dernière est connue pour être exploitée dans le cadre de cyberattaques avec déploiement de ransomware.