Le gang Lockbit a publié des documents supposément confidentiels du géant du conseil Accenture. Mais leur promesse de contenu ne semble pas remplie

À 17h30 le 11 août, le géant du conseil Accenture avait certainement les yeux rivés sur le blog du gang Lockbit. Hébergé sur un site en .onion, accessible uniquement par le réseau Tor (une partie d’Internet communément appelée le « Dark Web »), ce site est utilisé par les cybercriminels pour faire du chantage à la divulgation d’information.

Justement, dans un message publié dans la nuit du 10 au 11 août repéré par le Parisien, Lockbit affirmait qu’il détenait des informations confidentielles sur Accenture. Compte à rebours lancé, il menaçait de les vendre à d’autres malfrats, puis de les publier : «  j’espère vraiment que leurs services sont meilleurs que ce que nous avons vu depuis l’intérieur. Si vous êtes intéressé par l’achat de bases de données, contactez-nous.  »

Lockbit a lancé un compte à rebours pour mettre Accenture sous pression. // Source : Twitter @malwrhunterteam

Au bout du compte à rebours, la mise en ligne des documents a… raté. Après avoir refait la manipulation, le gang a finalement réussi à mettre les fichiers à disposition. The Record Media, qui les a parcourus en surface, explique n’avoir trouvé que des brochures de présentation des produits d’Accenture, des fiches de formation interne et d’autres fichiers marketing… Bref, aucun document confidentiel.

Double extorsion

Comme la majorité des gangs qui opèrent des rançongiciels, Lockbit agit en deux temps. Une fois une victime infectée par son malware capable de paralyser tout un réseau informatique, le groupe propose de la débloquer en échange d’une rançon. Pour les grands groupes de la taille d’Accenture, la demande peut dépasser plusieurs millions, voire dizaines de millions d’euros.

Mais si l’entreprise ne cède pas au chantage — comme le conseille la majorité des spécialistes –, alors le gang la menacera de divulguer des informations confidentielles de l’entreprise. Il aura pris le soin de faire une copie des fichiers présents sur les machines infectées avant de déclencher son rançongiciel. En conséquence, les victimes risquent l’exposition de contrats clients, de documents stratégiques ou encore de données sensibles sur leurs employés.

En plus d’endommager la réputation de l’entreprise, ce genre de fuite peut aussi déclencher d’autres cyberattaques selon les documents exposés. D’après l’entreprise Cyble, les cybercriminels avaient demandé le paiement de 50 millions de dollars pour rétracter la publication de 6 téraoctets de données.

Le schéma de double extorsion utilisé par Lockbit a d’abord été popularisé par le gang Maze en 2018. Aujourd’hui, c’est une pratique commune, et les cybercriminels n’hésitent pas à aller encore plus loin dans leurs menaces. Autrement dit, l’incident auquel se confronte Accenture est a priori un incident rançongiciel comme les autres.

Impact minime

« Comme d’habitude, restons zens, Accenture a probablement 5257 départements différents et l’impact de l’extorsion sera limité », tempérait déjà le chercheur Kevin Beaumont sur Twitter avant la fin du compte à rebours. Bien que volontairement exagéré, son constat reflète une réalité : lorsque les cybercriminels déploient un rançongiciel, ils ne parviennent pas forcément à toucher l’intégralité du réseau de leurs victimes. Autrement dit, la cyberattaque peut se limiter à une petite partie du réseau, sans atteindre celle où est hébergée l’activité de conseil. En conséquence : la véritable valeur de leur butin est difficile à estimer tant que l’ampleur de la cyberattaque n’est pas connue. Et justement, Accenture, qui propose des prestations et des assurances face à ce genre d’incident, devrait en théorie être correctement préparée.

Au Parisien, Accenture confirme avoir « identifié une activité irrégulière  », mais affirme qu’il n’y a « pas eu d’impact » sur ses opérations et celles de ses clients. L’entreprise n’utilise d’ailleurs pas le terme « rançongiciel », bien qu’elle explique au Bleeping Computer qu’elle a «  restauré complètement les systèmes affectés à partir de ses sauvegardes  », après les avoir identifiés et isolés. Bref, Accenture minimise  — à juste titre, semble-t-il — l’impact de la cyberattaque qu’elle a subie.

Crédit photo de la une : Disney/Alice au Pays des Merveilles

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux