Jour de rentrée… aussi pour les ransomwares

Les vacances, même si l’été fut plus froid et humide qu’en 2014 a annoncé Météo France, sont belles et bien terminées. Les codes malveillants, ransomwares, phishing… eux ne sont pas véritablement restés en estivation. Les opérations d’attaque ont passablement épargné la France, à brûle-pourpoint. Le centre hospitalier d’Arles n’a quant à lui pas été ménagé par le groupe « Vice Society ». Dans le monde de « l’informatique », des petits nouveaux se montrent, certains affinent leur choix de cible, et d’autres sont prolifiques. Des fuites de données sont également légion.

Le 27 août 2021, des informations concernant 700 000 personnes étaient disponibles sur Francetest. Ainsi noms, prénoms, dates de naissance, adresses, numéros de téléphone, de sécurité sociale et courriel, ainsi que leurs résultats aux tests étaient accessibles jusqu’à vendredi grâce à « un mot de passe trouvable, en clair, dans un dossier accessible à tous » sur le site de Francetest, relatait Mediapart. Les membres du site « Jassume », eux frémissent outre-Atlantique depuis la mi-août.

Au total 272, 9 Mo de données affichant près de 800 000 utilisatrices et utilisateurs sont jetés en pâture au premier venu. « Le pirate informatique “M”, nous l’appellerons ainsi, est une référence dans son milieu. Ce professionnel du piratage et de la vente de données exfiltrées vient d’annoncer avoir suffisamment vendu la base de données du site pour adultes “Jassume” pour maintenant la diffuser publiquement », écrit Damien Bancal sur Zataz. Ces personnes devront, si ce n’est pas déjà le cas changer tous leurs mots de passe, de tous les sites qu’ils fréquentent. Car leurs identité, mot de passe, emploi, webcam, date de naissance et courriel sont compromis à différents niveaux. « J’ai découvert que des pirates russes avaient analysé le fichier et en avaient déduit que plus de 85 % des paires email/mot de passe était uniques, c’est-à-dire qu’elles n’avaient pas jamais été trouvées précédemment dans aucune autre fuite », martèle-t-il. D’autant qu’avec ces multiples données, les hameçonnages devraient se multiplier, et pas seulement. Les usurpations d’identité, fraudes bancaires…

L’opérateur T-Mobile attaqué

Le 17 août 2021, la société T-Mobile, filiale de Deutsche Telekom, avait confirmé être victime d’une cyberattaque qui a compromis les données de millions de clients. Selon la firme, les informations financières ne sont pas concernées. Seuls les noms, adresses, dates de naissance, permis de conduire, et cartes d’identité ont été ébranlés. « L’intention de cet individu était de s’introduire et de voler des données, et il a réussi, affirme Mike Sievert, PDG de T-Mobile. À ce jour, nous avons notifié à peu près tous les clients actuels de T-Mobile ou les titulaires de comptes principaux dont les données ont été compromises. »

Bangkok Airways victime d’un vol

Le 23 août 2021, la compagnie aérienne avait découvert une intrusion dans ses systèmes d’information. L’enquête confirme que de nombreuses données personnelles ont pu être consultées, voir télécharger à des fins délictuelles. Trois jours plus tard, Bangkok Airways liste dans un communiqué les renseignements ultra-sensibles.

À savoir le prénom et nom du passager, sa nationalité, son sexe, son numéro de téléphone, son courriel, son adresse de domicile, les indications de son passeport, l’historique de ses voyages, sa carte de crédit et plus cocasse des informations sur ses repas spéciaux. La compagnie confirme toutefois que l’incident n’a pas affecté les systèmes de sécurité opérationnels ou aéronautiques de la multinationale. « La compagnie recommande vivement aux passagers de contacter leur banque ou leur fournisseur de carte de crédit, de suivre leurs conseils et de changer tout mot de passe compromis dès que possible. »

En France, les entreprises Solware et Vivea basées respectivement à Dardilly et Paris ont été infectées par les opérateurs derrière le ransomware « CONTI/Ryuk ». Vivea spécialisé dans l’accompagnement de chefs d’entreprise agricole et leurs conjoints collaborateurs dans le développement de leurs compétences voit près de 97 GB de données ainsi exposées. Sans oublier la société Alispharm attaquée par le ransomware Everest.

L’entreprise Solware vit un enfer comme ses clients, car près de 900 GB de données sensibles sont en libre accès suite au non paiement de la rançon exigée par les attaquants. Elles sont pléthores et sensibles :

• documentation financière (états financiers, documents comptables, fiches de paie contenant des données confidentielles, paiements)
• les contrats avec les partenaires (contrats, accords, bases de clients)
• données sur vos développements (code source, modifications, description)
• les archives de la correspondance par courrier
• la documentation de travail de l’entreprise (stratégie, plans)

BlackMatter, AvosLocker, LOCKBIT2.0…

De nouveaux groupes criminels affichent de nombreuses attaques de par le monde. « LockBit 2.0 » est l’un des plus prolifiques avec 75 entreprises au tableau de chasse telles que Brunsrealty (USA), Pro-Beam (ALL), Seiei-Ashd (JAP), Pridepak (AFS), Softvision (BRE), Bangkokair (THA), Hellmich-Partner (ALL), Ethiopianairlines (ETH), Lemonastere (CAN)… « BlackMatter » revendique des attaques contre Georgia Healthcare Alliance, The Brokerage Lanc Company, One Source, Tasteful Selections, Diamond Schmitt, Enreach UK Ltd… « AvosLocker » se lance tous azimuts. Il se revendique d’avoir attaqué On Logistics Services Algeciras en Espagne, Homme in Brussels en Belgique, Coghlin Electrical Contractors et Master Fluid Solutions aux USA, et Artaş Grubu en Turquie.

« Marketo » infecte le second fabricant européen d’aérogénérateurs, Siemens Gamesa Renewable Ernergy en Espagne et l’entreprise française Giga Tribe. Cette dernière propose des solutions de stockages et d’échanges sécurisés de fichiers à plus de 1, 7 millions d’utilisateurs, et permet par exemple d’effectuer des échanges confidentiels, en particulier d’échanger de gros fichiers. Ne soyons pas dupes, les opérateurs ne tombent pas par hasard sur telle ou telle entreprise. Elles sont choisies par les ressources proposées et les données contenues, c’est un jeu de poupée russe où l’espionnage industriel se vit à une autre échelle, une autre dimension. L’ère des « Technobandit » est ouverte. Ils sont des personnes, comme des groupes qui volent des secrets technologiques (par exemple au gouvernement ou sur un lieu de travail) pour les vendre à des agents de gouvernements étrangers ou à des entreprises concurrentes. Des affaires comme Pegasus ou le passé d’individus tel Xavier Niel…