Ransomware, une année record

Alors que tous les gouvernements prônent le retour au télétravail, les sécurités sont-elles de mise ? Le SARS-CoV-2 occupe peu ou prou la totalité du paysage médiatique, quand ce n’est pas la campagne pour l’élection présidentielle. Ce n’est pour autant pas la seule information ni contamination à travers la planète. Celle ressentie par les codes malveillants d’opérateurs que nous appelons communément « Virus ». Les attaques par ransomware sont prolifiques en cette année 2021, et promettent une année 2022 du même acabit.

Le tout premier de l’année fut le groupe OMV System France, par le ransomware Darkside en date du 3 janvier 2021, revendiqué le 19. Si certaines organisations semblent tomber aux oubliettes, comme Avaddon, il faut rester prudent. AlphaVM réclame l’offensive et les 650 GB de données sur Snop Group. Également 151 GB exfiltrés de Douglas Shaw & Associates. Bl@cktor explique que les entreprises attaquées avec lesquelles un accord est trouvé ne verront pas leurs données publiées. Pour les autres bl@ckt0r « publiera ici la notification de violation de données et commencera à échanger leurs données exfiltrées. » L’université UNEXCA de la Grande Caracas au Venezuela est l’une des cibles. La somme de 30 000 $ est demandée. Des coordonnées sont affichées et mentionnent numéro de carte d’identité, prénom, nom, date de naissance…

Clop affiche Swirespo (Singapour), Muschert-gierse (Allemagne), MTMRecognition (USA) avec des quantités astronomiques de renseignements comme des courriels. Concernant la firme américaine, au total plus de 700 000 adresses mail sont répertoriées.

Grief est prolixe tant en offensive qu’en mise à jour des données exposées, comme en date du 28 décembre 2021, des données du bureau national de radiodiffusion et de télécommunications. Ainsi le groupe de ransomware Midas relate de nombreuses attaques (New Corp, Texas Entreprises, GEW Corporation Limited…).

La France cible de choix

Les cibles, comme les municipalités sont telles que les attaques quadrillent l’hexagone de part en part. En janvier 2021, OMV System France (3/1-Darkside), Coffim (4/1-NetWalker), le 16 la ville d’Angers subissait une attaque par ransomware. « Dans la nuit de vendredi à samedi, une cyber attaque a fixé le système d’information de la ville d’Angers et de la métropole. Le diagnostic a conclu à une attaque de type rançongiciel qui a frappé La Rochelle, Aix Marseille, Vincennes, l’ADEME… dans un passé récent », twittait la commune. Revil/Sodinokibi a revendiqué l’attaque de la société UCAR perpétrée le 20 janvier, le 2 février 2021. Le conseil départemental de la Vienne se retrouvait sans téléphone ni ordinateurs, des suites d’une attaque informatique. La clinique de l’Anjou à travers ses personnels hospitaliers se rendait compte à 4 h, le 23 janvier que plus rien ne fonctionnait. La commune d’Houilles victime de chiffrement de données puis de demande de rançon (30-1), le même jour, la Châtaigneraie tombe sous le coup de PYSA. Enfin Darkside revendique le vol de plus de 30 Go de données sensibles de Wonderbox.

• Février : le 1er , Pénélope par Darkside, BVA (Conti), le 2 SVI Assurances (Avaddon), le 5 Mutuelle Nationale des Hospitaliers (RansomExx), Groupe Leader Interim, le 6 Signabois, le 9 le Centre Hospitalier de Dax (Ryuk), Trigano (Revil/Sodinokibi), le groupement Hospitalier de Dordogne le 11 février 2021, le 15, l’hôpital Nord-Ouest de Villefranche-sur-Saône (Ryuk), 1001 Vies Habitat, l’hôpital de La Chatre, le 16 la boulangerie Wach de Selestat, la mairie de Pontault-Combault, l’AFNOR le 18 (Ryuk), Bénéteau bloqué le 19 février, une usine classée Seveso à Béziers, comme Burgo Adrennes, le 21 Chalon-sur-Saône et Manutan (DoppelPaymer). Le lendemain, Charles André SAS. Lactalis s’en sort grâce à une détection en amont. Cashmag par Avaddon le 28

Les mois se suivent et se ressemblent. Le mois de mars affichent vingt-deux attaques :

• CGG (1/3, Cl0p), CEE Schisler (1/3, Conti), Communauté de communes de l’Est lyonnais, Soflog (3/3, DoppelPaymer), Servimo (3/3), Jacquet Metals (4/3, Conti), Rainbow Guyanne (5/3), Coallia (6/3), Centre hospitalier d’Oloron (8/3), SDIS 14 (9/3), SDIS 47 (10/3), La compagnie du SAV (10/3, Avaddon), Mersen (15/3, Mount Locker/Astro Team), Groupe Upperside Capital Partners (19/3, Conti), Montagne et Neige Développement (22/3), Asteelflash (24/3, Revil), Institut de formation santé de l’Ouest (26/3, Ragnarok), Yposkesi (27/3, Babuk), Targetcom (28/3, Avaddon), Goron (30/3, DoppelPaymer), Montagnettes (30/3, Ragnarok), et Pierre Fabre (31/3, Revil)

Avril	Mai	Juin	Juillet	Août
Université de Montpellier, Vallauris Golf-Juan, Würth France, Hôpital de Saint-Gaudens, Bourbon, Ville de Douai, Isle-sur-la-Sorgue, Morières-lès-Avignon, In Extenso, Élancourt, Fondation Hopale, La Martinière, Azenn, Trescal, Cegos, Fondation santé des étudiants de France, Transports Fatton, Oré Peinture, CPIE Gâtine Poitevine, Protectim, Marietton Développement, API, Challenge The Room, UniLaSalle, Centre François-Baclesse, Santélys, Apperton, Dirickx, Interfel, CNE, Laurent Perrier, Groupe Hopps, Bourg Saint Maurice – Les Arcs, Invicta Group, Voies navigables de France, REOREV, Fédération CINOV, Infovista,	Albioma, Toshiba TFIS, Atalian, iQera, Acer Finance, Berger-Levrault, Otago Productions, Axa (Asie), Stelliant, Mauffrey, Fraikin, Arca Assurances, Iserba, Despretz, STAM, Funbreak, Le Volcan, Syndex, V2 Location, Alma SAS, Cabinet Remy Le Bonnois, Assurcopro	Aqualung Trading, Tendriade, Saint-Avold Synergie, Pont-Saint-Esprit, PRB, Camaïeu, Demarne Frères, Cerba, Arketeam, Deux-Sèvres Habitat, 4murs, Au forum du bâtiment SAS, Brangeon Groupe, Cerfrance Côtes d’Armor, SEPUR, Maître Prunille, Voltalia, Groupe Traon Industrie Développement, Inserm Transfert, Imprimerie Lamazière, Epsilon Hydraulique, Always International, Assurances et Courtage Lyonnais, Alltech France, Lenaja, Groupe Confiance Immobilier, Xefi, CCI Bordeaux-Gironde, Assu2000, Villepinte	Groupe PCM, Fichorga, Keyrus, Royatonic, Centre Hospitalier de Périgueux, Erstein, Aris-Services, MHR, Socoplan, CGP Industries, Six cabinets d’avocats, Groupe Profil, Elven, Résidence Les Châtaigniers	Centre Hospitalier d’Arles, Solware, L’Argus, AssurOne, Luçon, Alispharm
Septembre	Octobre	Novembre	Décembre	Ransomwares
Vivea, Telecom Sud Paris, Annoncez-vous, La Martiniquaise, Cromology, Steel Projects, Champagnes & Châteaux, LinkOffice, Conflans-Saint-Honorine, Fugybat, Maitrex	Éditeur de solutions de billeterie, Bolbec, Transports Verlhac & Fils, Portalp, Courtoise Motors, Sides, Communauté de communes Sarrebourg Moselle-Sud, La Secan, Association des personnels d’Airbus, Trujas SAS, Cabinet Font Guillot, Audras & Delonnois, VKP, Neofidelys, Paris Society, Cabinet Cazenave, Lycée de la Joliverie (44), IDF Habitat, Un centre de radiothérapie à Melun, Fauveder, Polyclinique Bordeaux Nord, Greggio SAS, Communauté de communes Pays d’Apt Luberon, Saint Affrique, Troyes Aube Habitat, Idline, Prestataire du Cannet des Maures, Istres,	Un CFA d’Essonne, Groupe Avril, April, Fandi, CEPI Management, Dalloyau, Jean Floc’h, Chryso, Bureau d’étude thermique Saison Paragot (Chartres), GPV France, Eduservices, Bureau Veritas, Syndicat intercommunal informatique de Bobigny, Orchestra, Annecy, Verlingue, LDLC, Agglomération du Grand Guéret,	Montceau-les-Mines, SVP Information Décisionnelle, Promhotel, Sud Trading Company, Chantelle, Fittingbox, Ressort Masselin, Mr Bricolage (44), Inetum, Château-Thierry, La liste du mois d’avril à décembre est très longue, et reste imbuvable même en tableau. La communauté d’agglomération Est Ensemble	54bb47h, AlphaVM, Arvin Club, Astro Team, AtomSilo, Avaddon, AvosLocker, Babuk, BlackByte, Bl4ckt0r, BlackMatter, Black Shadow, Bonaci Group, CL0P, CONTI, CoomingProject, Cuba, Darkside, DoppelPaymer, Entropy, Everest, Grief, Groove, Haron, Hitler, Hive, Hotarus, Karma Leaks, LockBit 2.0, LockData Auction, Lorenz, LV BLOG, MBC, Midas, Moses Staff, Mount Locker, Nefilim, NONAME, N3tw0rm, Pay2Key, Payload.bin, Prometheus, Pysa, Quantum, Ragnar_Locker, Ragnarok, Ranzy/AKO, RAMP, RansomEXX, REvil, Rook, Snatch, Spook, Suncrypt, SynACK, Vice Society, XING Team…

La dernière faille est connue sous Log4Shell. L’année 2022 se doit d’être éducative pour le surf sur l’Internet et les manières de se protéger, d’autant que les opérateurs derrière les ransomwares sont toujours à la recherche de la faille.