Des cybercriminels inconnus font chanter le groupe Emil Frey et menacent de publier «près de 300 gigaoctets» de «données confidentielles» qu'ils auraient obtenues lors d'un piratage en janvier. C'est ce qui ressort d'une publication sur le site d'un groupe de ransomware.
Entre-temps, un premier ensemble de données a également été publié via un hébergeur de fichiers anonyme, comme le montre l'enquête de watson.
Selon nos recherches, le plus grand concessionnaire automobile d'Europe a été victime d'un «double chantage» lié à une attaque de pirates. Dans le métier, on appelle ça «Double Extortion Ransomware».
Sur le site en question, accessible uniquement via le réseau Tor, il était indiqué mardi que «près de 300 Go» (gigaoctets) de «données confidentielles» seraient «bientôt» publiés.
Mercredi, les pirates ont partiellement mis leur menace à exécution en publiant sur leur site un lien vers un hébergeur de fichiers connu. Celui-ci permettrait de télécharger un fichier compressé au format ZIP d'une taille de 225 mégaoctets (Mo). Son nom? «Fail.zip».
Il s'agirait de documents internes. Plusieurs d'entre eux contiendraient des données personnelles de clients suisses et allemands.
watson ne s'attardera pas sur le contenu.
Le porte-parole de l'entreprise, Peter Hug, a répondu mercredi soir par e-mail à la demande de watson.
Aucun autre commentaire à ce sujet ne sera fait pour le moment de la part d'Emil Frey.
Selon des experts en sécurité informatique, l'association criminelle appelée «Hive» fait partie des puissants de la branche et est considérée comme l'un des gangs les plus agressifs. Elle propose également son logiciel à des tiers («affiliés»). Ce modèle d'affaires est appelé «ransomware as a service» (RaaS) et signifie que des tiers peuvent coopérer avec les hommes de main (anonymes) de «Hive» pour pirater une entreprise et lui extorquer une rançon.
Parmi les victimes les plus connues, on se souvient l'année dernière du distributeur de matériel électronique MediaMarkt. Après une attaque de ransomware en novembre, l'entreprise a dû fermer ses systèmes informatiques et interrompre partiellement ses activités aux Pays-Bas et en Allemagne. Selon les rapports, la demande initiale de rançon s'élevait à 240 millions de dollars US, mais elle aurait été réduite à 50 millions.
On ne sait pas si un paiement a été effectué, ni combien. Le site de «Hive» sur le darknet ne donne aucune indication à ce sujet.
Le mode opératoire des pirates n'est pas connu à ce jour.
Le 11 janvier, le groupe Emil Frey avait publié un bref communiqué pour informer le public d'une attaque par ransomware.
Il s'agit vraisemblablement - comme mentionné plus haut - d'une attaque de ransomware en mode «double extorsion». Ce phénomène est récent et le mode opératoire des gangs de ransomware s'avère particulièrement perfide: après une attaque réussie, ils menacent de publier les données récupérées sur le darknet. Les pirates veulent ainsi que la victime n'ait d'autre solution que de payer la rançon.
Ils procèdent en plusieurs étapes:
Le montant de la rançon, qui peut s'élever à plusieurs millions de dollars selon la taille de l'entreprise, n'est pas le problème le plus grave: si des documents confidentiels volés se retrouvent sur Internet, la propriété intellectuelle peut être violée. Cela peut entraîner des problèmes de réputation et des problèmes de conformité, préviennent des experts en sécurité informatique.
De plus, une double extorsion peut se transformer en triple extorsion. Dans ce cas, les criminels adressent également leurs demandes de rançon à des clients ou fournisseurs connus de la victime initiale.
Étant donné que l'ampleur du piratage n'est pas connue à l'heure actuelle et que nous ne savons pas quelles données sont tombées entre les mains de criminels ou pourraient encore l'être, les personnes potentiellement concernées devraient faire preuve d'une prudence particulière pour le moment.
Concrètement, les clients du groupe Emil Frey doivent s'attendre à ce que les emails et les contacts en ligne qu'ils ont eu récemment soient des attaques de phishing ciblées. En clair: ne touchez pas aux pièces jointes inconnues!
Le groupe Emil Frey, fondé par l'ex-conseiller national UDC Walter Frey, est depuis 2017 le plus grand distributeur automobile d'Europe. En Suisse, le groupe, qui réalise un chiffre d'affaires annuel de 11 milliards de francs, distribue des véhicules d'une trentaine de marques, dont BMW, Fiat, Mazda, Mercedes-Benz, Toyota et Volvo.