Ransomware. Une rançon de 75 millions de dollars
Une somme record pour le paiement d’une rançon. Elle est selon le rapport de Zscaler l’œuvre de l’organisation derrière Dark Angels. Une entreprise du classement Fortune 50 a versé 75 millions de dollars. L’attention de l’actualité se réfère aux groupes prolixes en contenus. Certains sont mis en lumière après les opérations des forces de l’ordre, d’autres en fonction des spécificités. Le ransomware Brain Cipher fait partie de la seconde catégorie. Ils sont crédités de la cyberattaque lors des JO de Paris2024, sur les musées.
Les différentes analyses et rapports montrent que l’année 2023 affiche un retour des ransomwares. C’est également le total des paiements qui atteint lui aussi des records. Selon Chainalysis, le montant des rançons payées passe de 220 millions de dollars en 2019 à 1,1 milliard en 2023. Après une hausse en 2020 (905 M$) et 2021 (983 M$), une chute significative est visible en 2022 (567 M$).
Le dernier et pas le moindre : Dark Angels
Le ransomware Dark Angels établit un nouveau record. Ils touchent une rançon de 75 millions de dollars (68,4 millions d’euros) en ce début d’année 2024. Ce groupe actif depuis mai 2022, a essuyé une tentative avortée sur la perception d’une rançon de 51 millions de dollars, en septembre 2023. Les différentes entités taisent le nom de l’entreprise victime. BleepingComputer rapporte que la société anonyme influente fait partie du classement Fortune 50. Bien que les différentes entités restent muettes, la multinationale pharmaceutique américaine Cencora est la seule compromise lors d’une cyberattaque, aux alentours du 21 février 2024.
Dans un article de Reuters, l’ampleur de la cyberattaque est revue à la hausse. La vente et la distribution de produits pharmaceutiques sur le sol des États-Unis représentent 20 % via Cencora.
Les clients de Cencora et sa filiale du groupe Lash, informent les procureurs généraux de la violation de données. Le 10 avril 2024, Cencora a confirmé que les données volées comportaient prénoms, noms, adresses, dates de naissance, diagnostics de santé et/ou des médicaments, des prescriptions. Sans la confirmation de l’entreprise, plus de deux douzaines de sociétés sont touchées (Abbot, Acadia pharmaceuticals Inc., Bayer Corporation, Pfizer Inc., Tolmar…).
Cyble Research Labs a identifié un nouveau ransomware en mai 2022. Des similitudes sont affichées avec le rançongiciel Babuk. À la différence des autres, Dark Angels semble créer une seule page par victime, qui est accessible à partir d’une adresse URL unique.
Leur évolution est considérable depuis leur émergence. L’attaque contre l’entreprise Johnson Controls « démontre leur approche sophistiquée, y compris l’utilisation du chiffrement AES-256, des mécanismes d’enregistrement détaillés et des arguments spécifiques pour la personnalisation », explique Avertium. (Crédits : capture d’écran/SentinelOne)
La similitude avec Ragnar Locker se base sur le code utilisé. Dark Angels emploie un algorithme de chiffrement symétrique. AES avec une clé de 256 bits pour chiffrer les fichiers. « Johnson Controls International PLC a subi des perturbations dans certaines parties de son infrastructure et de ses applications informatiques internes à la suite d’un incident de cybersécurité. » Ce chiffreur Linux fut utilisé lors de l’attaque contre Johnson Controls pour chiffrer les serveurs VMware ESXi de l’entreprise. Le ransomware Dark Angels déclarait avoir volé 27 To de données, avec l’exigence d’une rançon de 51 millions de dollars.
La cyberattaque du Grand Palais RMN attribué au ransomware Brain Cipher
L’offensive menée contre le Grand Palais Réunion des musées nationaux (RMN) touche une quarantaine d’établissements. Ce qui représente 36 boutiques-librairies d’autres musées et grands sites touristiques gérées par cet établissement, dont Versailles. Une enquête judiciaire est ouverte par le parquet de Paris pour « atteintes à un système de traitement automatisé de données ». Les investigations sont en cours.
Comme son confrère Dark Angels, Brain Cipher use d’un builder. Il utilise celui du ransomware LockBit 3.0, sans pour autant travailler pour la franchise. Il a depuis l’apparition de son site vitrine revendiqué la cyberattaque contre l’entreprise Caennaise Cyceron. Basé sur le campus EPOPEA, le centre de recherche abrite de nombreux laboratoires et équipements.
Plus au sud, c’est l’entreprise Fabamaq située au Portugal qui devrait voir ses données publiées sur le site vitrine de Brain Cipher. Le compte à rebours affiche un délai expirant le 31 août à 13 h, identiquement pour le groupe français Cyceron. L’entreprise portugaise est spécialisée dans le développement de jeux pour les casinos, tout comme les jeux de casinos en ligne. (Crédits : capture d’écran/BrainCipher)