Le 14 novembre, le géant sud-américain de la distribution Cencosud a été victime d’un rançongiciel particulièrement virulent. L’attaque est revendiquée par Egregor, une organisation cybercriminelle apparue en septembre. Le groupe a repris une partie des activités du célèbre Maze, qui s’est arrêté au début du mois, et affiche déjà plusieurs grands noms à son tableau de chasse.
Comme tous les rançongiciels récents, Egregor chiffre les fichiers qu’il trouve, de sorte que les documents deviennent illisibles et que les machines liées au réseau cessent de fonctionner. Avant de lancer le chiffrement, il aura exfiltré une copie des données de l’entreprise, dont les cybercriminels pourront se servir pour faire du chantage à la publication si nécessaire. Mais Egregor se distingue avec une fonctionnalité nouvelle, destinée à semer encore plus le chaos lors de l’attaque. Si son malware touche un ordinateur lié à une imprimante, il lancera automatiquement l’impression de la note de rançon, déjà déposée sur tout ordinateur touché.
https://twitter.com/Irlenys/status/1327784305465188353
Dans ce cas-ci, Egregor pourrait avoir imprimé des milliers de copies, vu la taille de sa victime. Cencosud est à la tête de nombreuses chaînes de magasins (Jumbo, Vea, Disco…), répartis dans plusieurs pays d’Amérique du Sud, dont l’Argentine, le Brésil ou encore le Chili. La multinationale a réalisé 15 milliards de dollars de chiffre d’affaires en 2019, dans ses plus de 1 000 grandes surfaces.
Le journal argentin Clarín, qui a rapporté l’information en premier, a dépublié son article, sans fournir d’explication. Mais le Bleeping Computer, média expert sur les rançongiciels a pu confirmer l’attaque.
« Vos clients seront au courant de votre PROBLÈME »
Le média américain a récupéré la note de rançon que les pirates ont déposée sur chaque ordinateur touché. Cette note, rédigée sous la forme d’une foire aux questions générique — les opérateurs de rançongiciel ne savent en général pas exactement qui ils ont touché –, martèle en anglais : « Votre réseau informatique a été ATTAQUÉ, vos ordinateurs et vos serveurs VERROUILLÉS, vos données privées TÉLÉCHARGÉES ». Les hackers donnent trois jours aux responsables de l’entreprise pour les contacter et négocier le paiement de la rançon.
Pour mettre la pression sur les décisionnaires, les cybercriminels mettent en garde : « cela signifie que bientôt les médias de masse, vos partenaires et vos clients seront au courant de votre PROBLÈME. » Ils insistent également sur les dégâts potentiels liés à la perte de réputation qu’engendrerait leur attaque.
En arrêtant la vidéo au bon moment, on retrouve le message de rançon obtenu par le Bleeping Computer. // Source : Twitter
Le seul moyen pour la victime de débloquer rapidement l’épineuse situation est, en théorie, de payer la rançon qui s’élève à plusieurs milliers, voire millions de dollars pour les entreprises de cette taille. L’entreprise récupèrerait ainsi la clé de déchiffrement, éviterait un ralentissement prolongé de son activité, et toute perte de donnée. Avec un peu de chance, elle résoudrait même le problème avant qu’il ne s’ébruite.
Mais en pratique, rien ne garantit que les criminels vont donner la clé de déchiffrement ni qu’ils ne gardent pas une copie des données pour les vendre a posteriori. Pire, sans remise à zéro du système, il est difficile de s’assurer que le système est bien débarrassé de tout résidu du malware.
Dans tous les cas, entre les appareils corrompus et les notes imprimées, le message d’Egregor a été reçu plutôt mille fois qu’une.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
