Les pirates informatiques menacent de vendre aux enchères les données volées du centre d’achat des supermarchés du groupe de grande distribution. Le groupe E. Leclerc confirme une cyberattaque mais pas un vol de données.
L’un des groupes de hackers les plus actifs du moment, Sodinokibi / REvil, vient de faire une nouvelle victime française. SIPLEC, l’importateur, entre autres, de carburants et de produits textiles du groupe Leclerc, est la cible d’une tentative d’extorsion après avoir subi une cyberattaque de type ransomware et un éventuel vol de données internes.
«Siplec confirme avoir été la cible d’une cyberattaque dans la nuit du 7 au 8 novembre 2020. Les systèmes d’information de l’entreprise ont été immédiatement isolés et une cellule de crise composée d’experts internes et externes a été appelée. Lancement», explique cette centrale d’achat internationale qui met à disposition 804 marques collectives en À travers l’Europe.
« Toutes les mesures de sécurité spécifiques nécessaires pour s’assurer que les serveurs ne sont pas compromis et pour s’assurer que le contrôle de l’ensemble du système a été rétabli. Les activités de SIPLEC ont pu reprendre le travail ce lundi 9 novembre », tente de rassurer l’entreprise avec ses 330 salariés et 13 milliards d’euros de chiffre d’affaires.
Les pirates, qui se spécialisent dans les attaques contre des cibles de premier plan, ont revendiqué mercredi la responsabilité de leur acte et menacé leur blog hébergé par le Dark Web avec des informations de vente aux enchères.
Le groupe E.Leclerc n’a pas reconnu le vol de données : « une évaluation est en cours pour identifier l’impact de cette attaque sur d’éventuelles destructions ou pertes de données. Cette évaluation devrait être finalisée sous 8 jours. »
Mais les méthodes actuelles de Sodinokibi laissent peu de place au doute. « Ces attaquants appliquent la double peine : chiffrer les systèmes et les données de la victime et exfiltrer les informations qu’ils vont revendre ou les utiliser comme moyen de chantage pour une rançon », analyse Julien Billochon, expert en cybersécurité chez Cybereason.
« Depuis le début de l’année, ce type d’organisation cible de manière précise les grosses entreprises après un travail de reconnaissance et d’ingénierie sociale qui leur permet de frapper plus fort et plus profondément » assure l’expert.
Un groupe de pirates russophones
Et passe un message de prévention : « Les pièces-jointes utilisées pour répandre les logiciels qui infectent les réseaux informatiques proviennent désormais d’adresses émail reconnues ou très proches des vraies. Un simple échange d’émail suffit à faire ouvrir un fichier Excel vérolé ».
Fin septembre, SIPLEC avait d’ailleurs alerté ses fournisseurs que des cybercriminels utilisaient des adresses email frauduleuses pour usurper l’identité des acheteurs et envoyer de faux bons de commande pour les pirater.
Le groupe qui opère le « ransomware » Sodinokibi est connu pour ses pirates russophones qui se refusent à attaquer les entreprises des pays de l’ex-bloc soviétique, selon le dernier rapport sur la menace de l’Anssi.
Déjà fortement soupçonnés d’être derrière l’attaque contre l’éditeur de jeux vidéo Capcom, ils refusent également de partager leurs capacités d’attaque avec des partenaires anglophones, ce qui complique leur infiltration par des services de sécurité et de facto leur démantèlement.
SOURCE: https://www.w24news.com
1 Comment