Ransomware : Leonardo réfute les allégations de ThreeAM

La piste d’une coentreprise spécialiste des simulateurs

Les dates de création de fichiers et données suggèrent un vol survenu autour du 15 janvier dernier. Leurs noms suggèrent les données d’un système partagé par plusieurs utilisateurs italiens. Surtout, ils renvoient à Rotorsim, une coentreprise de Leonardo Helicopters et CAE créée en 2003 pour « proposer des solutions de formation synthétique aux exploitants d’hélicoptères AW109 et AW139 ». 

La référence AW139 apparaît à plusieurs milliers de reprises dans la liste, aux côtés de celles d’autres hélicoptères, les AW169 et AW189, également couverts par les solutions de Motorsim. 

D’autres références renvoient au monde de la formation en simulateur, dont l’abréviation QTG, ou Qualification Test Guide. Ce document permet notamment de démontrer que l’environnement de simulation reproduit fidèlement les limites opérationnelles réelles de l’appareil considéré.

À cela s’ajoutent des références à des systèmes de rendu visuel signés CAE, de la gamme Medallion, dans des noms de fichiers suggérant des modes d’emploi.

Enfin, des noms d’individus figurent également dans la liste. Nous avons trouvé les profils LinkedIn de trois d’entre eux : ils renvoient directement à CAE, confortant l’hypothèse d’un incident ayant touché la coentreprise de CAE et Leonardo. 

ThreeAM, un discret héritier de Conti

On ne connaît à ce jour que 55 victimes revendiquées sur la vitrine de ThreeAM (3am). Découvert mi-septembre 2023, son site vitrine dont l’interface rappelle celle de Conti, a initialement accueilli des revendications renvoyant au mois d’août 2023, aux côtés d’autres, plus récentes.

Selon Symantec, le ransomware ThreeAM, écrit en Rust, n’est pour l’heure pas très utilisé. Mais un affidé LockBit semble également l’avoir adopté : les équipes de l’éditeur ont observé l’emploi de ThreeAM après une première tentative avortée de déclenchement de LockBit.

Les équipes de renseignement sur les menaces d’Intrinsec se sont penchées dessus, réalisant d’intéressantes trouvailles : « nous avons réussi à désanonymiser le serveur du site web utilisé par le groupe d’intrusion et avons constaté des recoupements avec l’écosystème russophone des ransomwares de haut niveau. Nous estimons qu’il est probable que le ransomware ThreeAM travaille sous l’aile du syndicat Conti réorganisé (l’ancienne TEAM2 de Conti, aujourd’hui connue sous le nom de Royal). Comme le montre la littérature, une relation avec les membres de Zeon (ancienne TEAM1) est possible ».

Des revendications erronées pas exceptionnelles

Un acteur affilié à ThreeAM aurait-il délibérément menti sur sa victime ? C’est loin d’être à exclure. Car une telle approche, si elle n’est pas répandue, n’est pas inédite. 

À l’automne 2021, l’enseigne LockBit avait été utilisée pour revendiquer des cyberattaques contre plusieurs clients du Danois Vestas, avant de le désigner explicitement. De quoi gonfler ses chiffres tout en essayant de renforcer la pression sur la véritable victime.

Quelques mois plus tard, l’histoire se répétait, un affidé LockBit revendiquant une attaque contre le ministère de la Justice, alors que sa victime n’était qu’un cabinet d’avocats du Calvados. Et l’histoire se répétera avec une revendication d’attaque contre Thales.

En juin 2024, même approche avec la revendication d’une attaque contre la Réserve fédérale américaine… alors qu’une seule banque avait été effectivement touchée. Plus récemment, l’enseigne Space Bears a été utilisée pour revendiquer une cyberattaque contre Atos. Une allégation aussitôt réfutée par l’intéressé : « Atos comprend que l’infrastructure externe d’une tierce partie, non connectée à Atos, a été compromise par le groupe Space Bears ».

Il apparaît vraisemblable que la méthode séduise certains affidés (et les enseignes avec lesquelles ils officient), par l’attention et la couverture médiatique que cette approche ne manque pas de leur attirer.