Ferrari victime d’une cyberattaque sans ransomware, mais demande de rançon

Troy Hunt, fondateur de haveibeenpwned, le révélait ce lundi 20 mars : Ferrari informe ses clients d’un « incident cyber » dans le cadre duquel un assaillant « a été capable d’accéder à nombre limité de systèmes dans [son] environnement IT ». Des données personnelles de clients ont été compromises – mais aucune donnée de paiement ou bancaire –, apparaît-il à ce stade de l’enquête. 

Dans son message à ses clients, le constructeur automobile indique avoir été contacté par un cybercriminel formulant une demande de rançon. Et d’évoquer un principe de ne pas céder aux tentatives d’extorsion. Ferrari précise en outre que l’incident n’a pas eu d’impact sur ses activités. 

Une partie du message adressé aux clients du constructeur automobile a été repris dans un communiqué publié sur le site Web de Ferrari.

Pour Allan Liska, de Recorded Future, la description de l’incident faite par Ferrari suggère une cyberattaque n’impliquant pas le déclenchement d’un rançongiciel, mais plutôt une tentative d’extorsion simple, basée sur le vol de données et la menace de leur divulgation. 

Selon une source ayant connaissance de l'incident, citée par nos confrères de Databreaches.net, c'est bien ce qui s'est passé : il n'y a pas eu chiffrement de systèmes, mais seulement vol de données. Et la rançon initialement demandée s'élevée à 1 million de dollars. Ferrari avait jusqu'au 21 mars pour céder, date à laquelle le constructeur a communiqué publiquement.

La cyberextorsion sans ransomware gagne en popularité auprès des cybercriminels. Karakurt, un groupe identifié en juin 2021, ne pratique pas le chiffrement des données, mais se contente d’en voler chez sa victime et de menacer de les vendre ou les divulguer, si la rançon demandée n’est pas versée. Il a été associé à Conti.

À cela s’ajoute RansomHouse, qui affirme ne pas déployer de ransomware et se contenter de voler les données. Le groupe a notamment revendiqué un important vol de données à AMD fin juin 2022. Plus tard, dans le courant de l’été, MBDA était visé par une revendication comparable, cette fois-ci du groupe Arvin. Et tout récemment, c’est le groupe BianLian qui apparaît avoir réduit son recours au chiffrement.

Ferrari a déjà été victime d’une cyberattaque l’an passé. Début octobre 2022, le groupe RansomExx en a revendiqué une, avant de divulguer près de 7 Go de données attribuées au constructeur automobile. Mais le groupe ne mentionnait pas là de données personnelles ; il n’évoquait que des « documents internes, spécifications, manuels de réparation, etc. ». Pas de quoi suggérer une réutilisation de ces données par un autre cybercriminel afin d’essayer de faire chanter Ferrari. 

Toujours début octobre dernier, Everest mentionnait le nom de Ferrari dans le cadre d'une revendication de cyberattaque. Mais le constructeur automobile n'en avait pas été la cible : il s'agissait d'un partenaire, Speroni S.p.A. Everest mentionnait Ferrari ainsi que d'autres grands noms de l'automobile pour attirer l'attention, en indiquant avoir trouvé, chez sa victime, des données s'y rapportant.

Illustration © Ferrari S.p.A.