Le producteur d'alcool Campari a subi une attaque rançongicielle au début du mois de novembre. La veille de la date butoir de paiement de la rançon, les hackers à l'origine de l'attaque ont payé une campagne de publicité pour discréditer la communication de leur victime.

C’est un constat catastrophique : les gangs derrière les rançongiciels innovent à une vitesse effrayante dans leurs manières de faire pression sur leurs victimes, toujours plus nombreuses. Dernière en date : le producteur d’alcool italien Campari, créateur entre autres de l’alcool éponyme et du Grand Marnier. L’entreprise a communiqué le 3 novembre 2020 sur une cyberattaque qui a paralysé une partie de ses services. Elle se serait déclenchée le 1er novembre, et le groupe affirme qu’il a « rapidement identifié le virus » et ainsi empêché sa diffusion à l’intégralité de son réseau informatique. ZDNet a précisé quelques jours plus tard que Campari était touché par le rançongiciel Ragna Locker.

L’organisation criminelle aurait dérobé 2 teraoctets de données sensibles (fichiers bancaires, informations d’employés, clauses de confidentialité…) avant de chiffrer tous les systèmes contaminés. Ensuite, elle a demandé le paiement d’une rançon de 15 millions de dollars à sa victime en échange de la clé de déchiffrement et d’une promesse de ne pas divulguer les données volées en plus de supprimer sa propre copie. Ironiquement, le prix inclut aussi un rapport de pénétration du réseau informatique dans lequel les criminels détaillent ses faiblesses, ainsi que des recommandations pour l’améliorer…

Les cybercriminels exigent le paiement de 15 millions de dollars. // Source : CCO/Pxhere

Ragnar Locker donnait jusqu’au 10 novembre à sa victime pour organiser le paiement, sans quoi il publierait progressivement les données gratuitement sur leur site dédié, accessible via le réseau anonyme Tor. L’entreprise n’a pas communiqué depuis sur les éventuelles négociations. Mais la veille de la date butoir, les rançonneurs ont porté un coup particulièrement bas, qu’aucun autre gang ne s’était permis jusqu’ici : ils ont lancé une campagne de publicité sur Facebook dans le but de discréditer la défense de leur victime.

Les pirates utilisent un compte piraté pour évoquer un autre piratage

Le journaliste Brian Krebs s’est intéressé de près à la campagne de publicité, payée par l’entreprise Hodson Even Entertainement, qui appartient à un DJ de Chicago, Chris Hodson. Contacté par le journaliste, l’Américain a expliqué que son compte avait été piraté, et que les hackers avaient prévu un paiement de 500 dollars — avec son argent — pour lancer la campagne.

Dans l’encart publicitaire, intitulé « faille de sécurité dans le réseau du Groupe Campari », Ragnar Locker cite un des communiqués de sa victime. L’entreprise y expliquait : « à l’heure actuelle, nous ne pouvons pas exclure complètement que certaines données personnelles et d’affaires ont été dérobées ». Les criminels écrivent qu’il s’agit d’un « énorme mensonge grossier », et qu’ils « confirment que des données confidentielles ont été volées ». « Nous parlons d’ailleurs d’un énorme volume de données », ajoutent-ils.

La campagne de publicité a été stoppée dans son élan

Heureusement pour Hodson et Campari, Facebook a, semble-t-il détecté le caractère malveillant de la campagne. Hodson a donc pu récupérer son compte, et accéder à certaines statistiques : 7 150 utilisateurs de Facebook ont vu la publicité, et 10 % d’entres eux ont cliqué dessus. Le réseau social a encaissé 35 dollars pour le lancement de la campagne, mais y a mis fin avant un second paiement de 159 dollars.

Brian Krebs précise qu’il n’a pas déterminé si le gang a lancé la campagne depuis le seul compte de Hodson ou depuis plusieurs comptes piratés. Facebook a de son côté lancé une enquête sur l’affaire.

Les opérateurs des rançongiciels utilisent des techniques toujours plus invasives pour faire pression sur leur victime, et c’est à se demander où ils s’arrêteront.  Ce mois-ci, nous vous parlions de Egregor qui fait imprimer les notes de rançon par les imprimantes de ses victimes, d’autres paient des centres d’appel pour contacter les partenaires de leurs victimes au téléphone, presque tous menacent de publier les données.

Crédit photo de la une : Pxfuel

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux