Darknet: des hackers publient les données de clients suisses d'Emil Frey
Des cybercriminels inconnus font chanter le groupe Emil Frey et menacent de publier «près de 300 gigaoctets» de «données confidentielles» qu'ils auraient obtenues lors d'un piratage en janvier. C'est ce qui ressort d'une publication sur le site d'un groupe de ransomware.
Entre-temps, un premier ensemble de données a également été publié via un hébergeur de fichiers anonyme, comme le montre l'enquête de watson.
Fuite de données internes
Selon nos recherches, le plus grand concessionnaire automobile d'Europe a été victime d'un «double chantage» lié à une attaque de pirates. Dans le métier, on appelle ça «Double Extortion Ransomware».
Sur le site en question, accessible uniquement via le réseau Tor, il était indiqué mardi que «près de 300 Go» (gigaoctets) de «données confidentielles» seraient «bientôt» publiés.
Mercredi, les pirates ont partiellement mis leur menace à exécution en publiant sur leur site un lien vers un hébergeur de fichiers connu. Celui-ci permettrait de télécharger un fichier compressé au format ZIP d'une taille de 225 mégaoctets (Mo). Son nom? «Fail.zip».
Il s'agirait de documents internes. Plusieurs d'entre eux contiendraient des données personnelles de clients suisses et allemands.
watson ne s'attardera pas sur le contenu.
Que dit Emil Frey?
Le porte-parole de l'entreprise, Peter Hug, a répondu mercredi soir par e-mail à la demande de watson.
Aucun autre commentaire à ce sujet ne sera fait pour le moment de la part d'Emil Frey.
Qui sont les pirates?
Selon des experts en sécurité informatique, l'association criminelle appelée «Hive» fait partie des puissants de la branche et est considérée comme l'un des gangs les plus agressifs. Elle propose également son logiciel à des tiers («affiliés»). Ce modèle d'affaires est appelé «ransomware as a service» (RaaS) et signifie que des tiers peuvent coopérer avec les hommes de main (anonymes) de «Hive» pour pirater une entreprise et lui extorquer une rançon.
Parmi les victimes les plus connues, on se souvient l'année dernière du distributeur de matériel électronique MediaMarkt. Après une attaque de ransomware en novembre, l'entreprise a dû fermer ses systèmes informatiques et interrompre partiellement ses activités aux Pays-Bas et en Allemagne. Selon les rapports, la demande initiale de rançon s'élevait à 240 millions de dollars US, mais elle aurait été réduite à 50 millions.
On ne sait pas si un paiement a été effectué, ni combien. Le site de «Hive» sur le darknet ne donne aucune indication à ce sujet.
Comment les données ont-elles été obtenues?
Le mode opératoire des pirates n'est pas connu à ce jour.
Le 11 janvier, le groupe Emil Frey avait publié un bref communiqué pour informer le public d'une attaque par ransomware.
Il s'agit vraisemblablement - comme mentionné plus haut - d'une attaque de ransomware en mode «double extorsion». Ce phénomène est récent et le mode opératoire des gangs de ransomware s'avère particulièrement perfide: après une attaque réussie, ils menacent de publier les données récupérées sur le darknet. Les pirates veulent ainsi que la victime n'ait d'autre solution que de payer la rançon.
Ils procèdent en plusieurs étapes:
- Dans la première partie de l'attaque, ils tentent d'obtenir un accès discret au réseau protégé de la victime via internet. Ils y parviennent en utilisant diverses méthodes et outils de piratage, du mail d'hameçonnage sophistiqué à l'exploitation de failles de sécurité connues qui n'ont pas été comblées.
- Après avoir pénétré dans le réseau sans se faire remarquer, les pirates espionnent les ordinateurs reliés entre eux. L'objectif est de dénicher les fichiers les plus sensibles pour la victime et de les «exfiltrer». Cela signifie que les données sont copiées en secret et transférées via internet sur un serveur appartenant aux pirates.
- Dans la dernière phase de l'attaque, les pirates cryptent les précieux fichiers dans le réseau étranger et exigent une rançon. La victime est en outre mise sous pression en la menaçant de publier les données récupérées sur le darknet. Parallèlement, les pirates peuvent bien sûr aussi essayer de trouver des acheteurs (anonymes) sur les forums spécialisés de pirates informatiques.
Le montant de la rançon, qui peut s'élever à plusieurs millions de dollars selon la taille de l'entreprise, n'est pas le problème le plus grave: si des documents confidentiels volés se retrouvent sur Internet, la propriété intellectuelle peut être violée. Cela peut entraîner des problèmes de réputation et des problèmes de conformité, préviennent des experts en sécurité informatique.
De plus, une double extorsion peut se transformer en triple extorsion. Dans ce cas, les criminels adressent également leurs demandes de rançon à des clients ou fournisseurs connus de la victime initiale.
A quoi les clients d'Emil Frey doivent-ils faire attention?
Étant donné que l'ampleur du piratage n'est pas connue à l'heure actuelle et que nous ne savons pas quelles données sont tombées entre les mains de criminels ou pourraient encore l'être, les personnes potentiellement concernées devraient faire preuve d'une prudence particulière pour le moment.
Concrètement, les clients du groupe Emil Frey doivent s'attendre à ce que les emails et les contacts en ligne qu'ils ont eu récemment soient des attaques de phishing ciblées. En clair: ne touchez pas aux pièces jointes inconnues!
Le groupe Emil Frey, fondé par l'ex-conseiller national UDC Walter Frey, est depuis 2017 le plus grand distributeur automobile d'Europe. En Suisse, le groupe, qui réalise un chiffre d'affaires annuel de 11 milliards de francs, distribue des véhicules d'une trentaine de marques, dont BMW, Fiat, Mazda, Mercedes-Benz, Toyota et Volvo.