Ransomware : les revendications nébuleuses de Fog

Depuis la fin janvier, l’enseigne de ransomware Fog multiplie les revendications de cyberattaques contre des instances GitLab. À ce jour, une cinquantaine d’organisations sont concernées. Mais ces revendications apparaissent devoir être abordées avec prudence.

En France, l’Association des Développeurs et Utilisateurs de Logiciels Libres pour les Administrations et les Collectivités Territoriales (Adullact) a ainsi réfuté les allégations de cyberattaque.

Dans un communiqué publié sur son site, l’Adullact l’assure : « suite au travail d’investigation de l’ensemble de l’équipe technique, accompagnée d’experts, nous pouvons affirmer qu’il n’y a pas eu de tel piratage ».

Et si tant est qu’un incident soit survenu, elle rappelle que « le code source des logiciels libres est public » et peut donc être téléchargé et diffusé « (aussi) sur le darkweb ».

Avec l’aide du spécialiste de la gestion de la surface d’attaque exposée Onyphe.io, nous nous sommes penchés sur une trentaine des prétendues victimes revendiquées par l’enseigne Fog. 

La dernière vulnérabilité GitLab susceptible d’avoir été exploitée est la CVE-2023-7028. Nous n’avons pas trouvé d’instance affectée chez les victimes revendiquées. 

Qui plus est, dans le lot, plusieurs instances semblent avoir été déconnectées de longue date : deux d’entre elles ont été vues par les sondes d’Onyphe pour la dernière fois en juillet 2024, une en octobre, trois en novembre, et une autre en décembre. De quoi douter un peu plus de la validité de ces revendications signées Fog.

Cette enseigne apparaît active depuis le mois d’avril 2024, mais elle est devenue particulièrement expressive au cours de l’automne dernier. Début juin 2024, Arctic Wolf a publié un rapport sur son ransomware, pouvant être déployé sur les systèmes Windows et Linux/ESXi.