Les rançongiciels chiffrent les données, les rançongiciels volent et publient les données, et désormais, les rançongiciels impriment leurs messages de rançon sur les photocopieuses de leurs victimes.

Le 14 novembre, le géant sud-américain de la distribution Cencosud a été victime d’un rançongiciel particulièrement virulent. L’attaque est revendiquée par Egregor, une organisation cybercriminelle apparue en septembre. Le groupe a repris une partie des activités du célèbre Maze, qui s’est arrêté au début du mois, et affiche déjà plusieurs grands noms à son tableau de chasse.

Comme tous les rançongiciels récents, Egregor chiffre les fichiers qu’il trouve, de sorte que les documents deviennent illisibles et que les machines liées au réseau cessent de fonctionner. Avant de lancer le chiffrement, il aura exfiltré une copie des données de l’entreprise, dont les cybercriminels pourront se servir pour faire du chantage à la publication si nécessaire. Mais Egregor se distingue avec une fonctionnalité nouvelle, destinée à semer encore plus le chaos lors de l’attaque. Si son malware touche un ordinateur lié à une imprimante, il lancera automatiquement l’impression de la note de rançon, déjà déposée sur tout ordinateur touché.

Dans ce cas-ci, Egregor pourrait avoir imprimé des milliers de copies, vu la taille de sa victime. Cencosud est à la tête de nombreuses chaînes de magasins (Jumbo, Vea, Disco…), répartis dans plusieurs pays d’Amérique du Sud, dont l’Argentine, le Brésil ou encore le Chili. La multinationale a réalisé 15 milliards de dollars de chiffre d’affaires en 2019, dans ses plus de 1 000 grandes surfaces.

Le journal argentin Clarín, qui a rapporté l’information en premier, a dépublié son article, sans fournir d’explication. Mais le Bleeping Computer, média expert sur les rançongiciels a pu confirmer l’attaque.

« Vos clients seront au courant de votre PROBLÈME »

Le média américain a récupéré la note de rançon que les pirates ont déposée sur chaque ordinateur touché. Cette note, rédigée sous la forme d’une foire aux questions générique — les opérateurs de rançongiciel ne savent en général pas exactement qui ils ont touché –, martèle en anglais :  « Votre réseau informatique a été ATTAQUÉ, vos ordinateurs et vos serveurs VERROUILLÉS, vos données privées TÉLÉCHARGÉES ». Les hackers donnent trois jours aux responsables de l’entreprise pour les contacter et négocier le paiement de la rançon.

Pour mettre la pression sur les décisionnaires, les cybercriminels mettent en garde : «  cela signifie que bientôt les médias de masse, vos partenaires et vos clients seront au courant de votre PROBLÈME. » Ils insistent également sur les dégâts potentiels liés à la perte de réputation qu’engendrerait leur attaque.

En arrêtant la vidéo au bon moment, on retrouve le message de rançon obtenu par le Bleeping Computer. // Source : Twitter

Le seul moyen pour la victime de débloquer rapidement l’épineuse situation est, en théorie, de payer la rançon qui s’élève à plusieurs milliers, voire millions de dollars pour les entreprises de cette taille. L’entreprise récupèrerait ainsi la clé de déchiffrement, éviterait un ralentissement prolongé de son activité, et toute perte de donnée. Avec un peu de chance, elle résoudrait même le problème avant qu’il ne s’ébruite.

Mais en pratique, rien ne garantit que les criminels vont donner la clé de déchiffrement ni qu’ils ne gardent pas une copie des données pour les vendre a posteriori. Pire, sans remise à zéro du système, il est difficile de s’assurer que le système est bien débarrassé de tout résidu du malware.

Dans tous les cas, entre les appareils corrompus et les notes imprimées, le message d’Egregor a été reçu plutôt mille fois qu’une.

Crédit photo de la une : Warner Bros.

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux