DE | FR
Centre logistique du groupe Emil Frey. Le plus grand concessionnaire automobile d'Europe a été victime d'une attaque de "double extorsion ransomware".
Centre logistique du groupe Emil Frey. Le plus grand concessionnaire automobile d'Europe a été victime d'une attaque de "double extorsion ransomware".screenshot: youtube
Exclusif

Darknet: des hackers publient les données de clients suisses d'Emil Frey

Après le piratage du plus grand concessionnaire automobile d'Europe, des criminels inconnus ont menacé de divulguer une quantité impressionnante de données. Il semblerait que des clients en Suisse et en Allemagne soient déjà concernés par de premières fuites.
03.02.2022, 05:3603.02.2022, 08:50
Daniel Schurter
Daniel Schurter
Daniel Schurter
Suivez-moi
Oliver Wietlisbach
Oliver Wietlisbach
Oliver Wietlisbach
Suivez-moi

Des cybercriminels inconnus font chanter le groupe Emil Frey et menacent de publier «près de 300 gigaoctets» de «données confidentielles» qu'ils auraient obtenues lors d'un piratage en janvier. C'est ce qui ressort d'une publication sur le site d'un groupe de ransomware.

Entre-temps, un premier ensemble de données a également été publié via un hébergeur de fichiers anonyme, comme le montre l'enquête de watson.

Fuite de données internes

Selon nos recherches, le plus grand concessionnaire automobile d'Europe a été victime d'un «double chantage» lié à une attaque de pirates. Dans le métier, on appelle ça «Double Extortion Ransomware».

Sur le site en question, accessible uniquement via le réseau Tor, il était indiqué mardi que «près de 300 Go» (gigaoctets) de «données confidentielles» seraient «bientôt» publiés.

screenshot: watson

Mercredi, les pirates ont partiellement mis leur menace à exécution en publiant sur leur site un lien vers un hébergeur de fichiers connu. Celui-ci permettrait de télécharger un fichier compressé au format ZIP d'une taille de 225 mégaoctets (Mo). Son nom? «Fail.zip».

Il s'agirait de documents internes. Plusieurs d'entre eux contiendraient des données personnelles de clients suisses et allemands.

watson ne s'attardera pas sur le contenu.

Que dit Emil Frey?

Le porte-parole de l'entreprise, Peter Hug, a répondu mercredi soir par e-mail à la demande de watson.

«Suite à la cyber-attaque dont le Groupe Emil Frey a été victime le 11 janvier 2022, la restauration rapide de nos systèmes informatiques est déjà en grande partie terminée, nos entreprises sont à nouveau opérationnelles et tous les clients peuvent être servis dans leur intégralité. Le service informatique central du groupe et ses partenaires techniques sont en train de clarifier, conformément aux lois en vigueur sur la protection des données, si une violation de la protection des données personnelles a eu lieu dans le cadre de la cyber-attaque. En fonction du résultat de ces investigations, nous prendrons les mesures nécessaires. Si des données personnelles du Groupe Emil Frey dérobées de manière criminelle devaient apparaître ou être proposées sur des plates-formes pertinentes, nous partons du principe que les données et informations volées ne seront pas diffusées par les médias.»
Peter Hug, du groupe Emil Frey

Aucun autre commentaire à ce sujet ne sera fait pour le moment de la part d'Emil Frey.

Qui sont les pirates?

Selon des experts en sécurité informatique, l'association criminelle appelée «Hive» fait partie des puissants de la branche et est considérée comme l'un des gangs les plus agressifs. Elle propose également son logiciel à des tiers («affiliés»). Ce modèle d'affaires est appelé «ransomware as a service» (RaaS) et signifie que des tiers peuvent coopérer avec les hommes de main (anonymes) de «Hive» pour pirater une entreprise et lui extorquer une rançon.

Parmi les victimes les plus connues, on se souvient l'année dernière du distributeur de matériel électronique MediaMarkt. Après une attaque de ransomware en novembre, l'entreprise a dû fermer ses systèmes informatiques et interrompre partiellement ses activités aux Pays-Bas et en Allemagne. Selon les rapports, la demande initiale de rançon s'élevait à 240 millions de dollars US, mais elle aurait été réduite à 50 millions.

On ne sait pas si un paiement a été effectué, ni combien. Le site de «Hive» sur le darknet ne donne aucune indication à ce sujet.

screenshot: watson

Comment les données ont-elles été obtenues?

Le mode opératoire des pirates n'est pas connu à ce jour.

Le 11 janvier, le groupe Emil Frey avait publié un bref communiqué pour informer le public d'une attaque par ransomware.

Il s'agit vraisemblablement - comme mentionné plus haut - d'une attaque de ransomware en mode «double extorsion». Ce phénomène est récent et le mode opératoire des gangs de ransomware s'avère particulièrement perfide: après une attaque réussie, ils menacent de publier les données récupérées sur le darknet. Les pirates veulent ainsi que la victime n'ait d'autre solution que de payer la rançon.

Ils procèdent en plusieurs étapes:

  1. Dans la première partie de l'attaque, ils tentent d'obtenir un accès discret au réseau protégé de la victime via internet. Ils y parviennent en utilisant diverses méthodes et outils de piratage, du mail d'hameçonnage sophistiqué à l'exploitation de failles de sécurité connues qui n'ont pas été comblées.
  2. Après avoir pénétré dans le réseau sans se faire remarquer, les pirates espionnent les ordinateurs reliés entre eux. L'objectif est de dénicher les fichiers les plus sensibles pour la victime et de les «exfiltrer». Cela signifie que les données sont copiées en secret et transférées via internet sur un serveur appartenant aux pirates.
  3. Dans la dernière phase de l'attaque, les pirates cryptent les précieux fichiers dans le réseau étranger et exigent une rançon. La victime est en outre mise sous pression en la menaçant de publier les données récupérées sur le darknet. Parallèlement, les pirates peuvent bien sûr aussi essayer de trouver des acheteurs (anonymes) sur les forums spécialisés de pirates informatiques.

Le montant de la rançon, qui peut s'élever à plusieurs millions de dollars selon la taille de l'entreprise, n'est pas le problème le plus grave: si des documents confidentiels volés se retrouvent sur Internet, la propriété intellectuelle peut être violée. Cela peut entraîner des problèmes de réputation et des problèmes de conformité, préviennent des experts en sécurité informatique.

De plus, une double extorsion peut se transformer en triple extorsion. Dans ce cas, les criminels adressent également leurs demandes de rançon à des clients ou fournisseurs connus de la victime initiale.

A quoi les clients d'Emil Frey doivent-ils faire attention?

Étant donné que l'ampleur du piratage n'est pas connue à l'heure actuelle et que nous ne savons pas quelles données sont tombées entre les mains de criminels ou pourraient encore l'être, les personnes potentiellement concernées devraient faire preuve d'une prudence particulière pour le moment.

Concrètement, les clients du groupe Emil Frey doivent s'attendre à ce que les emails et les contacts en ligne qu'ils ont eu récemment soient des attaques de phishing ciblées. En clair: ne touchez pas aux pièces jointes inconnues!

Le groupe Emil Frey, fondé par l'ex-conseiller national UDC Walter Frey, est depuis 2017 le plus grand distributeur automobile d'Europe. En Suisse, le groupe, qui réalise un chiffre d'affaires annuel de 11 milliards de francs, distribue des véhicules d'une trentaine de marques, dont BMW, Fiat, Mazda, Mercedes-Benz, Toyota et Volvo.

Encore une affaire qui pose une question simple (mais importante):

C'est le jour de la marmotte!

1 / 6
C'est le jour de la marmotte!
source: imgur
partager sur Facebookpartager sur Twitterpartager par WhatsApp

Ne hackez surtout pas la fondue de dame Copin!

+ sur le hacking en Suisse

Doit-on pirater vos toilettes pour que vous réagissiez? Coup de gueule

Link zum Artikel

Vous vous êtes fait pirater vos données? Voici comment vous en sortir

Link zum Artikel

Comparis a versé la rançon à ses hackers. Mais est-ce la bonne solution?

Link zum Artikel

Après la cyberattaque de Rolle, «il y a urgence» à agir, crient les députés

Link zum Artikel

Le CICR est victime d'une cyberattaque touchant plus de 500 000 personnes

Link zum Artikel
Montrer tous les articles
1 Commentaire
Comme nous voulons continuer à modérer personnellement les débats de commentaires, nous sommes obligés de fermer la fonction de commentaire 72 heures après la publication d’un article. Merci de votre compréhension!
1
De l'armée à Instagram: Berne a déjà tout prévu sur le don d'organes
Le peuple suisse a accepté d'introduire le principe du consentement présumé pour le don d’organes, le 15 mai. Cela nécessite maintenant une vaste campagne d'information et les plans sont déjà prêts.

«Voulez-vous faire don de vos organes après votre mort ?» C'est précisément la question qui se posait à tous les citoyens suisses le 15 mai. Et le peuple a approuvé la modification de la loi sur la transplantation, toute personne ne souhaitant pas faire don de ses organes après sa mort devra s'inscrire dans un registre pour dire qu'il refuse le don.

L’article