Harvest : la cyberattaque est revendiquée sous l’enseigne Run Some Wares

[Mise à jour, le 10 avril 2025 @16h45] La cyberattaque conduite contre le Français Harvest fin février vient tout juste d’être revendiquée sous l’enseigne « Run Some Wares ». La revendication est assortie de ce qui est présenté comme un premier lot de fichiers volés à la fintech française, la liste des fichiers dérobés, et un échange avec les cybercriminels.

Cet échange – potentiellement tronqué – ne comporte aucune date et ne permet donc pas de déterminer combien de temps le canal de communication correspondant est susceptible d’être resté ouvert. Le montant de la rançon demandée, en bitcoins, a été maquillé par les cybercriminels. 

L’échange a démarré de manière somme toute classique, avec demande suivie de la fourniture d’une liste de fichiers dérobés, et déchiffrement de test de quelques fichiers. Rien en tout cas qui laisse transpirer la moindre véritable intention de céder aux demandes des pirates.

L’enseigne Run Some Wares est publiquement connue depuis le 27 février - un hasard du calendrier -, mais les listes de fichiers attribués à sa poignée de victimes revendiquées - et les indications chronologiques que contiennent ces listes - suggèrent un début d’activité antérieur, susceptible de remonter au moins au mois de juin 2024. Il n’est pas possible d’exclure, à ce stade, que cette enseigne ne constitue pas seulement le portfolio d’un groupe ayant précédemment travaillé sous d’autres bannières.

Nous appuyant sur des sources concordantes, nous avions précédemment évoqué RansomHub. Les éléments visibles de l’infrastructure de cette dernière sont inaccessibles tandis que DragonForce lui a récemment tendu, plus ou moins amicalement, la main.

[Mise à jour, le 19 mars 2025 @14h50] Selon nos confrères de Gestion de Fortune, Harvest Groupe vient d’adresser une nouvelle communication à ses clients directs, au sujet de la cyberattaque qui a commencé à affecter ses activités le 27 février dernier.

Selon celle-ci, la fintech française indique avoir désormais établi que des « comptes de messagerie de salariés » ont été compromis à l’occasion de l’incident. De là, « cette compromission pourrait avoir affecté certaines de vos données clients, nous souhaitions vous en informer ». 

Et Harvest Groupe d’assurer affiner ses « analyses » qui « mobilisent pleinement » ses équipes, pour tenir ses clients informés « sous une quinzaine de jours ». L’entreprise n’a pas répondu aux sollicitations de nos confrères.

[Mise à jour, le 13 mars 2025 @18h45] Selon nos informations, c’est un affidé de la franchise mafieuse RansomHub qui a conduit l’attaque paralysant les services SaaS de Harvest Groupe depuis le 27 février.

Cette attaque a trouvé son origine dans une machine virtuelle hébergée chez un prestataire. La fintech française ne manquait pourtant pas de dispositifs de sécurité, entre EDR sur les postes de travail et les serveurs, XDR, SIEM, et solution de gestion des correctifs. Toutefois, l’authentification à facteurs multiples (MFA) n’était pas généralisée à tous les comptes au moment de l’attaque. Les mots de passe associés à tous ceux-ci ont dès lors dû être réinitialisés.

Sollicité à plusieurs reprises par la rédaction, Harvest Groupe continue, pour l’heure, de se refuser à toute communication publique. Dans un courriel adressé tout récemment à ses clients, il assure que les données de ses applications SaaS n’ont pas été volées ni même lues. À l’heure où sont publiées ces lignes, l’attaque n’a pas encore été revendiquée. 

Selon nos constatations, il n’est pas rare que les revendications sous la bannière de RansomHub surviennent en moyenne de deux semaines à un mois après la survenue de l’attaque.

Apparue en février 2024, l’enseigne RansomHub a notamment profité des remous provoqués par l’exit-scam d’Alphv et l’opération judiciaire Cronos contre LockBit, pour recruter certains de leurs affidés et faire progresser considérablement son activité tout au long de l’année passée.

[Article original, le 5 mars 2025] La fintech Harvest compte, parmi ses clients, Crédit du Nord, Groupama, HSBC, ING, LCL, Swisslife, Centaure Investissements, Arkea Services Financiers, AXA, BNP Paribas, Boursorama Banque, ou encore le groupe BPCE.

Au total, cette « fintech leader en France » de « plus de 30 ans en plein développement », installée à Paris rue de la Baume, revendique plus de 4 600 sociétés clientes sur son site Web, où elle fait état d’une stratégie 2025 dite « l’esprit de conquête ».

L’entreprise propose des solutions de gestion du patrimoine, de la relation client, d’analyse et d’aide à la construction d’offres financières, ainsi qu’une plateforme numérique de distribution, sans compter des « données complètes sur une large variété de produits financiers ».

Ses produits sont présentés comme 100 % « en Cloud/SaaS ». Toute sa gamme embarque des API. Mais rien de tout cela ne semble accessible – à l’heure où nous publions ces lignes, et à commencer par son site Web. Et cela depuis le 27 février dernier. 

Selon nos informations, c’est à cette date, dans la nuit, qu’a été découverte une cyberattaque avec ransomware. Même son VPN SSL semble être aux abonnés absents.

Sollicitée par la rédaction, la direction de la communication d’Harvest a indiqué ne pas avoir encore produit de communiqué de presse à l’heure de notre prise de contact ni confirmé qu’un tel communiqué était en cours de préparation.

Nous lui avons adressé des questions additionnelles portant notamment sur l’étendue des dégâts constatés et leur impact sur l’activité de la fintech, sans réponse pour le moment. 

L’indisponibilité des données établie, les entreprises clients de Harvest doivent d’ores et déjà notifier la CNIL.