M6 : une cyberattaque venue de la messagerie électronique
Selon nos sources, un premier compte de collaborateur de la chaîne aurait été compromis dès le mois de juillet. Les assaillants auraient ensuite progressé lentement jusqu’à activer le ransomware, combinant Nanocore et Troldesh.
Le groupe M6 l’indiquait dimanche 13 octobre au matin sur son compte Twitter : la veille, il a été frappé par une « attaque informatique malveillante [sic] ». La chaîne assure que « l’intervention rapide et efficace de [ses] experts en cybersécurité a permis de continuer à assurer la bonne diffusion des programmes sur l’ensemble de [ses] antennes TV et radio ».
Selon nos confrères de L’Express, il s’agit en fait d’une attaque par ransomware. Et une source interne de préciser que « les lignes téléphoniques et la messagerie électronique de l’entreprise sont inutilisables. […] Tous les outils de bureautique et de gestion rencontrent d’importantes perturbations ». L’Agence nationale pour la sécurité des systèmes d’information (Anssi) a été appelée à la rescousse.
Selon nos informations, l’attaque aurait en fait commencé bien avant cela, par la compromission d’un premier compte utilisateur du groupe, courant juillet, via un courriel malicieux. Cette première victime aurait été ensuite utilisée pour propager un cheval de Troie à d’autres utilisateurs : un autre au mois d’août, puis cinq de plus en septembre.
Des éléments de code malicieux semblent avoir été hébergés sur une page Pastebin depuis peu retirée. Deux chevaux de Troie sont notamment hébergés sur un site Web dont le domaine a été déposé fin août. Certains échantillons en sont apparus très récemment : ils ne sont présents sur Virus Total que depuis ce mardi 15 octobre ; en fait, on observe de nouvelles mutations à un rythme effréné. Les détections par DrWeb renvoient à NanoCore.
Le rançongiciel en lui-même semble distribué notamment via des sites Web Wordpress mal maintenus – dont celui d’une agence Web. Les premiers éléments d’analyse renvoient à Shade/Troldesh.
Début mars, Malwarebytes faisait état d’un regain d’activité des opérateurs de ce ransomware, estimant que l’on était « au milieu d’une campagne active et réussie ». Le vecteur d’infection initial apparaît être souvent le courriel, avec une charge utile « souvent hébergée sur des sites abritant un système de gestion de contenus compromis ». Plus tard, en juin, Avast faisait à son tour état d’un regain d’activité. Aujourd’hui, les hôtes compromis pour le distribuer apparaissent se multiplier à grande vitesse, trahissant un nouveau pic d’activité.
Parallèlement à M6, Pitney Bowes indique avoir été la cible d’une « attaque malveillante qui a chiffré l’information sur certains systèmes et perturbé l’accès de [ses] clients à [ses] services ». Son site Web est en mode maintenance à l’heure où sont publiées ces lignes. Le maliciel dont il est victime n’est pas connu, et aucun lien avec l’incident affectant M6 n’est à ce stade établi.
[Mise à jour le 17/10/2019 à 14h] Des échantillons relevant des familles Friedex/Bitpaymer étaient bien présents dans l'environnement informatique du groupe M6 au moment du déclenchement de l'attaque, comme l'indiquaient récemment nos confrères de L'Express. Toutefois, ce ne seraient pas les responsables, mais bien un ransomware de la famille Shade/Troldesh comme nous le mentionnions plus tôt. Selon nos sources, les échantillons de Friedex/Bitpaymer trouvés sur place le 12 octobre étaient notamment déjà bien détectés par les outils de protection du poste de travail, trop bien pour pouvoir se déclencher.