Ransomware : Hunters International demande 10 millions de dollars à Hoya

Fin mars, la société japonaise de fabrication d’optiques Hoya Corp. a arrêté la production de plusieurs de ses produits à la suite d’une défaillance de système probablement causée par un accès non autorisé à ses serveurs. 

Le 4 avril, Hoya a indiqué avoir détecté une anomalie dans l’un de ses bureaux à l’étranger le samedi précédent et tenté d’isoler les serveurs affectés, déplorant un probable « accès non autorisé ».

Au Japon, nos confrères de Jbpress évoquent aujourd’hui une cyberattaque avec ransomware : « le groupe de cybercriminalité Hunters International a publiquement révélé son implication dans l’attaque contre Hoya aux parties prenantes », indiquent-ils.

De fait, si le groupe n’a pas encore publiquement revendiqué cette attaque au moment où ces lignes sont publiées, il semble bien impliqué. Selon nos informations, une rançon de 10 millions de dollars a été initialement demandée et les cybercriminels ont assuré avoir dérobé plus de 1,7 million de fichiers pour un total de 2 To de données. 

Menacer d’informer en masse clients, partenaires, employés et concurrents d’une victime fait partie de leur mode opératoire. Ils appliquent également une politique de non-négociation à certaines de leurs victimes, ce qu’ils ont fait pour Hoya, selon les éléments qui ont été portés à notre attention. Un négociateur aurait ainsi initialement proposé 1,5 million de dollars, en vain, puis 4 millions, toujours en vain, se heurtant à un cybercriminel ouvertement intraitable.

Nous avons sollicité les commentaires du service de presse de Hoya, sans résultat pour le moment.

Le site vitrine de Hunters International a été découvert à l’automne dernier. Très vite, des liens avec Hive ont été repérés, par le chercheur rivitna, et à partir de l’analyse du code source du ransomware utilisé par Hunters International. Les équipes de Glimps ont fait les mêmes observations.

Le 24 octobre dernier, Hunters International a toutefois réfuté toute affiliation directe avec Hive, assurant que « tous les codes sources de Hive ont été vendus, y compris le site web et les anciennes versions Golang et C, et nous sommes ceux qui les ont achetés ». Le groupe a néanmoins récemment été surpris en plein recyclage de données issues de cyberattaques précédemment conduites sous bannière Hive.