Après Garmin, c'est au tour de Canon d'être touché par un ransomware. Pas de chance : il s'agit de Maze, un gang de cybercriminels particulièrement virulent, connu pour divulguer les données des victimes qui ne paient pas la rançon.

«  Que s’est -il passé ? Nous avons hacké votre réseau, et maintenant, tous vos fichiers, documents, photos, bases de données et d’autres données importantes sont chiffrés avec des algorithmes fiables. » Ce message, laissé par des cybercriminels sur le réseau informatique de l’entreprise Canon, a été récupéré par le Bleeping Computer.

Le site américain a eu la confirmation que le spécialiste de la photographie a été victime d’un rançongiciel (ou ransomware en anglais). Les cybercriminels auraient déclenché leur attaque le week-end du 1 et 2 août. En conséquence, plusieurs applications internes de l’entreprise, dont son service d’email et son logiciel de communication en interne (Microsoft Teams) étaient hors service. Côté public, le site américain du groupe était tombé.

Une note, laissée sur le système de Canon, exige le paiement d’une rançon contre la restitution et le déchiffrement des données. // Source : Louise Audry pour Numerama

Canon n’a pas été touché par n’importe quel rançongiciel : il s’agit de Maze, un gang particulièrement dangereux, qui s’en prend exclusivement aux grandes entreprises, et se distingue par ses menaces de divulgation des données.

Un ransomware qui menace de divulguer les données

Avant de chiffrer les données internes de Canon, les opérateurs de Maze expliquent qu’ils ont extrait plus de 10 téraoctets de données, un volume que l’entreprise n’a pas confirmé . En revanche, Canon promet qu’aucune image des utilisateurs de son service de stockage, image.canon, n’a été comprise. Un incident technique s’y est pourtant produit peu avant  l’attaque rançongiciel, mais les deux événements ne seraient pas liés.

Dans leur note, les cybercriminels donnent 3 jours à Canon pour prendre contact avec eux, afin de discuter du montant de la rançon. Sans réponse, ils divulgueront un premier échantillon des données volées sur leur blog dédié. Si l’entreprise décide de jouer la montre au-delà de 7 jours, les malfaiteurs menacent de publier l’intégralité des données récupérées.

« Le rançongiciel ayant le plus fort impact potentiel sur les entreprises »

L’Anssi, l’autorité française de référence sur ces sujets, insiste sur la dangerosité de Maze dans son rapport sur la menace rançongiciel en 2019 : « Les forts montants demandés, combinés au risque de divulgation de données internes, en font le rançongiciel ayant le plus fort impact potentiel sur les entreprises et institutions. Celles-ci peuvent se retrouver à supporter l’impact de la divulgation de données clients, notamment personnelles (RGPD), mais également de données de recherche, commerciales ou encore classifiées. »

Maze joue sur cette réputation dans sa note de rançon : elle indique à ses victimes des mots clés à taper dans Google pour trouver des traces de ses méfaits dans les médias.

Maze a pour habitude de corrompre les sauvegardes

D’après le Bleeping Computer, le service informatique de Canon a envoyé un message le 5 août, destiné à prévenir l’ensemble de l’entreprise. Il évoque un «  problème sur l’ensemble du système, qui affecte plusieurs applications ». Le service précise que ces services ne fonctionneront plus pendant une certaine indéfinie. Cela signifie que Canon n’a probablement pas encore pris de décision quant au paiement de la rançon.

Ce sera un choix difficile, car Maze place ses victimes sous une immense pression. Quand il réussit à faire aboutir son attaque, le malware va jusqu’à chiffrer les sauvegardes de l’entreprise. Le service informatique n’a alors que très peu de choix pour relancer les services. Ils sont pris en étau entre la menace de la divulgation des données, et l’impossibilité de restaurer le système à partir des sauvegardes. Et même si la victime payait la rançon, il lui faudrait faire confiance aux cybercriminels pour ne pas revendre une copie de ses données en parallèle…

Crédit photo de la une : YouTube

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux