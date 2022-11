Après avoir attaqué 169 firmes dans le monde, ces hackers visent la Suisse

Le gang de cybercriminels Lockbit prétend avoir piraté et extorqué 160 entreprises au cours du seul mois d'octobre. Le groupe industriel suisse Saurer serait également concerné. Mais il n'est pas certain que les escrocs soient aussi efficaces qu'ils le prétendent.

Oliver Wietlisbach

Lockbit est une sorte de rock star parmi les bandes organisées d'extorsion en ligne. Aucun autre cheval de Troie de cryptage (également appelé ransomware) n'attaque actuellement autant d'entreprises. Rien qu'en octobre 2022, 160 nouvelles victimes de chantage sont apparues sur le blog sur le darknet de Lockbit. Parmi elles, samedi, le fabricant suisse de machines textiles Saurer d'Arbon. Lockbit menace de publier dans quelques jours des données d'entreprise confidentielles du groupe, actif dans le monde entier.

160 victimes d'extorsion en un mois, c'est exceptionnel même pour la bande de ransomware la plus active du moment. Il y a toutefois des doutes sur le fait que toutes les entreprises mentionnées aient vraiment été piratées en octobre. Il est également envisageable que les criminels utilisent d'anciennes données issues de précédents piratages pour tenter de faire à nouveau chanter les entreprises.



Des criminels menacent de publier à nouveau des données d'entreprise de Saurer le 5 novembre 2022. capture d'écran: lockbit-blog

Cela pourrait être le cas au moins pour Saurer et le groupe d'armement français Thales, que Lockbit répertorie également, depuis lundi, comme nouvelle victime. Les deux entreprises ont déjà été piratées par le passé et aucune n'a confirmé une nouvelle attaque à watson jusqu'à présent.

Les cybercriminels jouent-ils un jeu de dupes?

Comme prétendue preuve du (nouveau) vol de données chez Saurer, les cybercriminels ont publié, le 29 octobre, des extraits de documents d'entreprise volés sur leur blog sur le darknet. Parmi ces documents, certains sont qualifiés de «strictement confidentiels». Il s'agit apparemment d'inciter Saurer à payer une rançon.

Chez Saurer, on ne veut pas commenter la menace des cybercriminels et on laisse toutes les questions de watson sans réponse. L'entreprise a fait savoir lundi que:

«Nous ne commenterons pas vos informations et ne répondrons pas à vos questions. Par principe, nous ne donnons pas d'informations sur les processus internes de l'entreprise.»

Les recherches de watson ont montré que Saurer avait déjà été victime d'un vol de données en août 2021. A l'époque, le gang des ransomwares Karma avait réussi à crypter des systèmes informatiques de Saurer, situés dans des centres de calcul en Allemagne, et à s'emparer de données.

Juste un coup de bluff?

On ne sait donc pas pour l'instant si Saurer a été à nouveau piratée. Les documents publiés par les cybercriminels comme prétendues preuves semblent effectivement provenir de l'entreprise suisse.

Toutefois, aucun élément récent ne laisse supposer que le fabricant de machines textiles a été piraté une nouvelle fois. En outre, il s'agit de documents qui semblent concerner en premier lieu Saurer en Allemagne, exactement comme lors de la fuite de données il y a un peu plus d'un an.

On peut donc supposer que Lockbit utilise les documents volés l'année dernière chez Saurer en Allemagne et publiés ensuite sur le darknet pour faire à nouveau chanter l'entreprise. Reste à savoir dans quelle mesure cette démarche serait prometteuse pour les cybercriminels.



Dans l'entourage de Saurer, on affirme que les failles dans les systèmes informatiques ont été comblées et qu'elles ont fait l'objet d'une expertise externe. S'il y a eu un nouveau piratage, il doit s'agir d'un incident totalement inédit.

Sur le blog de Lockbit, le compte à rebours pour Saurer s'achève dans quelques jours. On pourrait alors savoir si les criminels ne font que bluffer ou si Saurer a effectivement de nouveau un problème.

Des criminels voulaient une rançon de 500 000 dollars

L'attaque de l'été 2021 a eu lieu via des comptes d'administrateur volés. Elle a entraîné des pannes pendant plusieurs jours. «Nous n'avons pas payé de rançon», avait alors déclaré Saurer à watson. La police avait vivement conseillé de ne pas répondre aux messages des extorqueurs. Selon la NZZ, le gang de ransomware Karma exigeait 500 000 dollars. Par la suite, les criminels ont publié plus de 10 gigaoctets de données d'entreprises.



Le Centre national de cybersécurité (NCSC) ne fait pas non plus la lumière sur ce prétendu nouveau piratage. Interrogé, le centre de compétence de la Confédération pour la cybersécurité écrit qu'il ne s'exprime en principe pas «sur les cyberincidents concrets d'entreprises» et renvoie à Saurer.

La police cantonale de Thurgovie écrit qu'aucune plainte n'a été déposée jusqu'à présent, mais qu'il n'existe pas non plus d'obligation de déclaration. Le NCSC confirme qu'il n'existe toujours pas en Suisse «d'obligation générale de déclarer les cyberincidents». Et d'ajouter que:



«En raison de la menace croissante que représentent les cyberincidents pour l'économie et la population, le Conseil fédéral souhaite toutefois renforcer le système de déclaration.»

L'Office fédéral allemand de la sécurité des technologies de l'information (BSI) n'a pas encore répondu à la demande de watson de savoir si Saurer avait à nouveau signalé un cyberincident en Allemagne.

Dans les années 1990, Saurer est devenu le plus grand constructeur de machines textiles au monde. En 2013, il a été vendu au groupe chinois Jinsheng. Outre la Chine, c'est en Allemagne que Saurer est le plus grand, mais il a dû y faire face à de grandes difficultés financières.



Lockbit: grande gueule et des compétences techniques

Le groupe français de défense et d'aérospatiale Thales a déclaré lundi qu'il n'avait pas encore reçu de demande de rançon, mais qu'il prenait au sérieux les affirmations des pirates et enquêtait sur la situation.

Thales a dit la même chose en janvier 2022, lorsque les cybercriminels ont mis leur menace à exécution et ont publié des données du groupe. Thales a confirmé la fuite de données, mais a parlé de «données peu sensibles». Cela pourrait également expliquer pourquoi aucune rançon n'a apparemment été versée.

Au début de l'année, l'expert en cybersécurité Guillaume Maguet a déclaré au journal français Le Parisien que le gang des ransomwares Lockbit avait surévalué son butin afin d'avoir un nom éminent sur sa liste de victimes. Leur logiciel de cryptage est certes techniquement compétent, mais les déclarations du gang doivent être prises avec précaution.

Thales n'a pas répondu à la demande de watson de savoir s'il existait un lien entre l'attaque de ransomware du début 2022 et le nouveau vol de données allégué par Lockbit.



Des chevaux de Troie de chantage pour tous

La bande de cybercriminels Lockbit exploite son cheval de Troie de cryptage du même nom en tant que ransomware-as-a-service. Cela signifie que d'autres criminels peuvent louer le logiciel de chantage auprès des développeurs et l'utiliser à leur guise contre les autorités ou les entreprises. C'est sans doute l'une des principales raisons pour lesquelles les attaques de ransomware ont rapidement augmenté au cours des dernières années.



Démonstration du logiciel Lockbit qui récupère les données chiffrées. gif: bleepingcomputer

L'avalanche de nouvelles victimes de Lockbit en octobre pourrait aussi avoir une autre raison. En septembre, un développeur prétendument mécontent a publié le plan de construction du dernier programme de cryptage de la bande: Lockbit 3.0. Avec relativement peu de connaissances, n'importe qui peut désormais lancer ses propres attaques de ransomware, ce qui devrait encore augmenter la menace pour les entreprises.



(traduction et adaptation par sas)