Ransomware : se méfier de l’eau qui dort

Les infections des systèmes d’information en France sont à nouveau légion. ClOp qui a reçu un coup d’épée avec l’arrestation de six membres affiche une nouvelle attaque d’entreprise. La France n’est pas épargnée. Entre Everest et Conti pour ne citer qu’eux ce n’est pas moins de dix-huit attaques avisées sur leur site de fuite respectif que les opérateurs revendiquent au mois de juin 2021. Mais d’autres offensives sont tout aussi préoccupantes, comme celle du fabricant de stockage et de mémoire informatique, ADATA.

Le premier est l’assurance de 800 Go que les attaquants du ransomware Mount Locker affichent avoir dérobé chez Aqualung Trading. Puis comme indiqué précédemment, Tendriade fait partie d’un « lot » de cinq objectifs. L’agglomération de Saint-Avold sous le coup d’un versement de 80 000 dollars, la mairie de Pont-Saint-Esprit paralysée dès le 3 juin 2021, puis la firme PRB est ciblée à son tour. L’invasion a été détectée très tôt ce vendredi 4 juin 2021 au matin. « Il y avait un message sur les écrans, et une demande de rançon. Il est hors de question de payer », indique encore le chef d’entreprise, Jean-Jacques Laurent. Ce sponsor historique du Vendée Globe précède « Demarne Frères ». Le groupe LV revendique le vol de plus de 40 Go de données au spécialiste des produits marins. Les Deux-Sèvres (79) subissaient début du mois des attaques. La première concerne les archives départementales, puis la seconde, Deux-Sèvres habitat. « On nous annonce un black-out complet de trois à cinq semaines », notifiait dans la Nouvelle République Fabrice Ouvrard, le directeur.

Les opérateurs derrière le ransomware « Everest » frappent fort en France. Le cabinet Rémy Le Bonnois n’est que le premier. L’imprimerie Lamazière (12 Go), Epsilon hydraulique (44 Go), Always International (4 Go). La revendication porte aussi sur Altech France, Xefi, le groupe Confiance Immobilier, sans afficher à l’heure actuelle, le 26 juin 2021, le poids des renseignements dérobés. Les premières données d’ « Assurance et courtage lyonnais » sont divulguées. Des contrats, devis, coordonnées, process… sont ainsi mis au jour pouvant profiter à des personnes peu scrupuleuses. De son côté « Conti-Ryuk » s’est infiltré chez Voltalia, Cerfrance, Traon, Maître Prunille, Iserba, Brangeon, Au Forum du Batiment, Dirickx, STAM, FunBreak.

Disque-dur et barrette de mémoire

L’infection d’une entreprise taïwanaise concerne de nombreuses personnes à travers la planète. ADATA qui fabrique des modules de mémoire DRAM hautes performances, des cartes mémoire flash NAND et d’autres produits, a été avili par le ransoware « Ragnar Locker ». Les différentes manufactures sont disque dur, stockage externe (HDD, SSD, boîtiers), cartes mémoire, lecteurs, clés USB, des produits de jeu (souris, clavier, casque) et des solutions industrielles. Il existe de grandes probabilités pour que tout un chacun ait un de leurs composants dans son domicile. La société a été classée deuxième fabricant de mémoire DRAM et de disques SSD (Solid State Drive) en 2018.
« ADATA a été touché par une attaque de ransomware le 23 mai 2021 », a déclaré la société dans un communiqué. L’industriel de mémoire taïwanais a démantelé tous les systèmes concernés après avoir décelé l’agression et a prévenu toutes les autorités internationales compétentes de l’incident pour aider à retrouver les responsables.

« La société a suspendu avec succès les systèmes affectés dès que l’attaque a été détectée, et tous les efforts nécessaires suivants ont été déployés pour récupérer et mettre à niveau les systèmes de sécurité informatique associés, avant d’ajouter.Nous sommes déterminés à nous consacrer à rendre le système plus sûr que jamais, et oui, ce sera notre pratique sans fin pendant que l’entreprise avance vers sa croissance et ses réalisations futures. » Samedi 19 juin 2021, les acteurs du ransomware ont publié sur le site de fuite les hyperliens de téléchargement d’un nouvel ensemble de documents d’entreprise ADATA, en prévenant les parties intéressées que ces derniers ne devraient par survivre longtemps. Le service de stockage MEGA a fermé le compte, refusant ainsi l’accès à tous les fichiers partagés publiquement.