Cyberattaque de Telefónica en Espagne
Le vol de 2,3 gigaoctets de données fait la une de la presse ibérique. L’opérateur Telefónica subit une cyberattaque, à travers sa messagerie interne : les « tickets ». L’entreprise confirme l’accès non autorisé aux systèmes d’information et indique qu’une enquête est en cours. De son côté, sur un forum, l’attaque est revendiquée par un groupe de quatre entités. Les pseudonymes sont Grep, Pryx et Rey (Greppy, Saint-Prypex, Rey). Ils seraient également membres du ransomware HellCat dont Schneider Electric est la victime en novembre 2024.
Une victime de plus sur la péninsule ibérique. Après LynxSpa par le ransomware Morpheus, The Hoff Brand SL par Everest, et Candelas y Asociados S.L par LockBit au mois de janvier, la multinationale espagnole de télécommunications reconnaît avoir subi une cyberattaque autour du 9 janvier 2025. Le géant de la télécommunication, fondé le 19 avril 1924, affiche environ 363 millions d’abonnées. Présente dans douze pays pour la téléphonie fixe, mobile, internet et télévision payante, et principalement en Europe et Amérique latine (Movistar, O2, vivo…), Telefónica emploie plus de 100 000 personnes.
Deux gigaoctets de données volées
Le géant de la télécommunication, Telefónica, subit une cyberattaque aux alentours du 9 janvier 2025. Le groupe d’individus extrait environ 2,3 Go de données, y compris des documents et des « tickets ». L’intrusion non autorisée dans les systèmes d’information s’effectue à l’aide d’informations d’identification d’employés compromises. Depuis Telefónica, bloque cette possibilité, après avoir réinitialisé les mots de passe desdits comptes.
« Nous avons été informés d’un accès non autorisé à un système de billetterie interne que nous utilisons à Telefónica. Nous enquêtons toujours sur l’étendue de l’incident, mais nous pouvons confirmer que les clients résidentiels n’ont pas été affectés. Dès le début, les mesures nécessaires ont été prises pour bloquer tout accès non autorisé au système. »
La confirmation n’intervient qu’après qu’une base de données Jira de Telefónica fait l’objet d’une fuite sur un forum de piratage. Quatre personnes sous les pseudonymes Grep, Pryx et Rey revendiquent l’intrusion.
« Pryx affirme ne pas avoir contacté l’entreprise ni tenté de l’extorquer avant de divulguer les données en ligne », explique BleepingComputer. (Crédits : Telefónica)
« BleepingComputer a été informé que les tickets ont été ouverts avec des adresses e-mail @telefonica.com, et qu’il peut donc s’agir de tickets ouverts au nom de clients. » Le gouvernement espagnol est entré au capital en décembre 2023 à hauteur de 2,2 milliards d’euros. Ainsi, il s’adjuge 10 % du capital de l’opérateur et deviendra de facto son actionnaire principal, devant la Fondation bancaire Caixa d’Estalvis (9,994 %) et le groupe Saudi Telecom Company basé en Arabie saoudite (4,969 %).
Membres du ransomware HellCat
Les trois personnes à l’origine de cette attaque, Grep, Pryx et Rey, sont également membres du ransomware HellCat. Grep est aussi associé au ransomware HellDown. Le rançongiciel HellCat est vu pour la première fois en octobre 2024. Les victimes revendiquées et affichées par le groupe sont Carcareplan (Turquie), la municipalité de Blora (Indonésie), Pinger (USA), le Collège d’enseignement des affaires de Tanzanie, le ministère jordanien de l’Éducation et Schneider Electric en France.
Schneider Electric refuse de payer la rançon de 125 000 dollars, et Hellcat rend publique et disponible les données volées.
Pour Schneider Electric c’est également par le système Atlassian Jira qu’il revendiquent avoir réussi à pénétrer l’infrastructure. Sur le site de fuite, ils expliquent que « Cette intrusion a compromis des données critiques, notamment des projets, des problèmes et des plugins, ainsi que plus de 400 000 lignes de données utilisateur, soit un total de plus de 40 Go de données compressées. »
(Crédits : capture d’écran/HellCat)
Se targuant que Schneider Electric refuse de payer la rançon demandée, plus de 40 Go de données sont publiquement disponibles au téléchargement. Depuis les données téléchargeables ne sont plus disponibles.
