Lorsqu'un groupe de hackers a piraté le groupe énergétique français Schneider Electric, ils ont exigé une rançon inhabituelle: 125 000 dollars (environ 110 francs suisses)... sous forme de baguettes.
Une baguette coûtant, en France, environ 95 centimes d'euro, on table sur une éventuelle livraison d'un peu plus de 118 000 baguettes.
Selon la plateforme technique et informatique Bleeping Computer, les pirates se seraient introduit dans le système Jira de Schneider Electric et auraient volé 40 Go de données de l'entreprise. Jira est un logiciel utilisé pour le suivi des problèmes et la gestion de projets.
Les responsables de l'attaque sont associés à une bande nommée Hellcat, qui s'est spécialisée dans le ransomware. Suite à la réussite de la cyberattaque, le groupe s'est moqué de Schneider Electric sur X, plateforme sur laquelle ils ont ensuite publié un extrait d'un bloc de données pour prouver leur succès. D'autres détails sur les données volées et la demande de produits de boulangerie ont été publiés sur le Darknet.
Si Schneider Electric ne paie pas la rançon, les pirates menacent de publier des informations sensibles, y compris des projets d'entreprise, des données d'employés et d'utilisateurs. Selon le magazine en ligne Tom's Hardware, les pirates affirment avoir dérobé «des données critiques, notamment des projets, des problèmes et des plug-ins, ainsi que plus de 400 000 lignes de données utilisateur», soit 40 Go compressés.
En outre, les attaquants auraient proposé de réduire la rançon à l'équivalent de 62 500 dollars (environ 55 000 francs) si Schneider Electric reconnaissait publiquement le vol de données.
«Schneider Electric enquête sur un incident de cybersécurité impliquant un accès non autorisé à l'une de nos plateformes internes de suivi de l'exécution des projets qui est hébergée dans un environnement isolé», a déclaré l'entreprise en réponse à une demande de Bleeping Computer, soulignant que:
Un porte-parole du groupe de pirates informatiques Greppy (ou Grep) a fait savoir qu'un nouveau groupe appelé ICA avait été créé. Celui-ci n'exigerait pas d'argent si les entreprises rendent publiques leurs violations de sécurité dans les 48 heures. Jusqu'à présent, Schneider Electric n'a pas encore décidé si l'entreprise allait céder aux exigences ou trouver une autre solution. (t-online)
Adaptation française: Léa Krejci