Cyberextorsion : la SATT du Sud-Est réfute toute attaque informatique

Surprise, ce jeudi 2 juin après-midi : la MalwareHunterTeam publie, sur Twitter, une capture d’écran affichant le logo de la SATT du Sud-Est. Sur celle-ci, en rouge, on peut lire : « vos données métiers ont été compromises. Plus de 200 Go de données seront prochainement diffusées sur le marché ».

Quelques heures plus tôt, peu après 10h, les opérateurs de la place de marche Industrial Spy, avaient annoncé la mise en vente, pour 200 000 $, de données venues de l’organisation titulaire du nom de domaine sattse.com. C’est celui de la SATT du Sud-Est.

L’offre est bien présente sur le site d’Industrial Spy, accessible via Tor : y sont proposés 144,2 Go de données pour ledit montant. La page dédiée fait état d’une cyberattaque survenue le 30 mai. Dans la liste des fichiers figurent notamment toute une série de fichiers PST. Ceux-ci contiennent des données de messagerie électronique.

La recherche des noms correspondants sur Internet permet de retrouver des personnes liées à la SATT du Sud-Est, dont un ancien ingénieur de recherche ou encore une ancienne juriste spécialiste de la propriété intellectuelle.

Contactée par nos confrères de L’Usine Digitale, la SATT du Sud-Est réfute toute cyberattaque et a affirmé que « tout fonctionnait » de son côté. Mais Industrial Spy ne semble pas déployer de ransomware ni bloquer les systèmes compromis : les attaquants impliqués semblent se contenter, au moins dans certains cas, de voler des données pour les mettre en vente.

Ainsi, les établissements du GHT Cœur Grand Est avaient indiqué, le 11 mai, avoir été « victimes d’une cyberattaque », le 19 avril. Mais dans leur communiqué, ils précisaient que l’opération avait « consisté à copier des données informatiques essentiellement administratives », à la suite d’une infiltration. Le scénario semble avoir été comparable pour l’Institut Fraunhofer à Halle, en Allemagne : une tentative d’extorsion avec vol de données, mais sans altération du fonctionnement du système d’information.

Le site Web de la SATT du Sud-Est n’a affiché, pendant plusieurs heures, ce jeudi 2 juin, qu’une page blanche. Le serveur VPN de l’organisation était bien actif, mais, selon les données de Censys, l’interface Web d’accès à la messagerie électronique (OWA) – un serveur Exchange 2013 hébergé sur Windows Server 2008 R2 – a été coupée le 31 mai, dans l’après-midi. À l’heure où sont publiées ces lignes, l’interface OWA n’est toujours pas accessible.