Ecritel : Hunters International divulgue des données de clients, dont l’Anssi

Un premier lot de données attribuées à Ecritel est diffusé sur le site vitrine de l’enseigne de ransomware Hunters International. Elles semblent concerner des clients de l’ESN, dont l’Anssi qui dit actuellement les qualifier.

[Mise à jour le 20 décembre 2024] Nous avons obtenu des informations relatives à la manière dont Ecritel a débusqué son assaillant avant qu'il ne déploie, éventuellement, son rançongiciel, et géré les débuts de cette crise. Nous les partageons dans un nouvel article.

[Mise à jour le 19 décembre 2024 @ 17h20] Cela n’aura pas traîné : les acteurs malveillants ayant conduit la cyberattaque contre Ecritel ont commencé à mettre leurs menaces à exécution. Ils divulguent des données qu’ils attribuent à l’ESN et dont ils indiquent qu’elles pèsent 17 Go. 

Ce ne serait, selon eux, qu’un premier lot qui devrait être suivi d’un second dans la nuit, heure de Paris. L’arborescence des fichiers suggère qu’ils contiennent des données de clients d’Ecritel, avec des dossiers portant des noms bien connus comme Afnic, Axens, Camaieu, Capgemini, BNP Paribas, ou encore… Anssi.

Les sous-dossiers suggèrent la présence de documents se rapportant à des comités de pilotage et de suivi, des architectures de système d’information, ou encore des rapports d’incidents.

Sollicité par la rédaction, le service presse de l’Agence nationale de la sécurité des systèmes d’information indique avoir « pris connaissance d’une potentielle exfiltration de données concernant l’Anssi ». Et d’ajouter : « nous qualifions actuellement les données exfiltrées qui concernent potentiellement l’agence ».

De son côté, Audrey Louail, CEO et co-fondatrice d’Ecritel, l’assure : « nous connaissons précisément la nature de tous les fichiers volés ». Et, « bien évidemment, nous sommes en relation étroite avec chacun des clients concernés depuis avant la diffusion du communiqué public ».

[Article original, 17 décembre 2024] Ce 17 décembre au matin, ransomware.live le repère : une cyberattaque contre l’entreprise de services numériques (ESN) française Ecritel apparaît sur le site vitrine de l’enseigne de rançongiciel Hunters International.

La revendication est assortie de miniatures de captures d’écran suggérant des documents contractuels et d’architecture réseau, voire même des interfaces d’outils d’administration d’infrastructure IT, ou encore… le plan de sécurité du système d’information (PSSI) d’Ecritel, lequel inclut une « politique de sensibilisation à la sécurité (PSSSI) ».

Au total, Hunters International revendique le vol d’environ 270 Go de données et présente l’attaque en indiquant avoir eu recours au chiffrement – ce qui n’est pas systématique pour les affidés de l’enseigne de ransomware.

Dans un communiqué de presse daté du 16 décembre et transmis à la rédaction, Ecritel « déclare avoir fait face à une attaque majeure » le 8 décembre et « l’avoir déjouée dans le contexte d’une forte recrudescence des cyberattaques, conséquence des tensions géopolitiques actuelles ».

Ecritel évoque une « tentative d’intrusion » avant été « rapidement détectée et arrêtée, sans effet sur la continuité de l’activité ». Pour l’ESN, cet incident « n’a engendré aucun impact ou dysfonctionnement sur les plateformes de ses clients ». 

Selon Ecritel, les attaquants prétendent « avoir interrompu [son] activité et mis la main sur des données sensibles de la société », ce que l’ESN « dément ». Et d’assurer qu’après un « contrôle total de son infrastructure, [l’] analyse et [l’] audit par une société tierce certifiée PASSI, seul un serveur interne de documents de travail des collaborateurs d’Ecritel a été compromis et partiellement exfiltré » dans le cadre de cette cyberattaque.

Ecritel rappelle disposer d’environnements certifiés « ISO 27001, HDS, PCI DSS, en cours de qualification SecNumCloud et régulièrement audités ». Nous avons demandé à Ecritel de préciser le vecteur d’intrusion initial. Nous mettrons à jour cet article si (et quand) cette information nous parvient.

Que sait-on de Hunters International ?

Le site vitrine de Hunters International a été découvert à l’automne 2023. Très vite, des liens avec Hive ont été repérés, par le chercheur rivitna, et à partir de l’analyse du code source du ransomware utilisé par Hunters International. Les équipes de Glimps ont fait les mêmes observations.

Le 24 octobre 2023, Hunters International a néanmoins réfuté toute affiliation directe avec Hive, assurant que « tous les codes sources de Hive ont été vendus, y compris le site Web et les anciennes versions Golang et C, et nous sommes ceux qui les ont achetés ». Le groupe a néanmoins récemment été surpris en plein recyclage de données issues de cyberattaques précédemment conduites sous bannière Hive.

Fin janvier 2023, l’infrastructure de Hive avait été saisie à l’occasion d’une vaste opération judiciaire internationale. Hunters International a développé un outil pour Linux permettant de réduire le risque d’une telle opération, en décentralisant le stockage des données volées à ses victimes et en laissant le contrôle total à ses affidés.

C’est loin d’être la première fois qu’une ESN est victime d’une cyberattaque et emporte avec elle ses clients. Cette année, Axido en a fait l’amère expérience, ainsi que Synertrade ou encore Octave. Fin 2023, Coaxis traversait la même épreuve. Et avant cela, en 2021, Solware avait dû faire face à Conti.

L’année 2023 a vu de nombreuses ESN frappées par des cyberattaques, en France et au-delà avec, chaque fois, un nombre conséquent d’organisations affectées indirectement.

Pour approfondir sur Menaces, Ransomwares, DDoS