Nicolas Gouhier
Ransomware : des cyberdélinquants revendiquent une attaque sur Orange
Les cyberdélinquants aux commandes du rançongiciel Nefilim assurent avoir réussi à compromettre l’opérateur français. Leurs affirmations laissent à suspecter une intrusion survenue via sa division services pour entreprises.
Orange vient allonger la liste des victimes de ransomware, et surtout de celles qui refusent de céder au chantage. Le groupe de cyberdélinquants qui met à profit le rançongiciel Nefilim – aussi appelé parfois Nephilim – vient en effet d’ajouter à son blog une page dédiée à l’opérateur français. Sur celle-ci, il propose au téléchargement une archive compressée contenant, selon leurs allégations, des données dérobées à l’occasion de l’intrusion.
Le groupe de cyberdélinquants assure au passage que « cette fuite a été possible après qu’une filiale d’Orange SA a fait l’objet d’une violation ». Et de faire référence à Orange Business Services. Selon les assaillants, l’archive contiendrait des données appartenant à « diverses entreprises » clientes d’OBS.
Joint par la rédaction, Orange Business Services reconnaît une attaque « de type cryptovirus », détectée par les équipes de l’opérateur, « dans la nuit du samedi 4 juillet au dimanche juillet 2020 ». Dans une déclaration adressée au MagIT, un porte-parole explique que « selon les premières analyses des experts sécurité, cette attaque n’aurait porté que sur des données hébergées sur une plateforme Neocles en cours de fermeture, “Le Forfait informatique”, et aucun autre service n’aurait été affecté ».
Toutefois, OBS précise que cette attaque semble « avoir permis aux hackers d’accéder aux données d’une vingtaine de clients PRO/PME hébergés sur la plateforme ». Et d’assurer que « les clients concernés ont d’ores et déjà été informés par les équipes d’Orange. Les équipes d’Orange restent pleinement mobilisées. Orange présente ses excuses pour la gêne occasionnée ».
Brett Callow, analyste chez Emsisoft, explique que « Nefilim est quelque peu inhabituel dans la mesure où [ses opérateurs] semblent être plus sélectifs que d’autres groupes lorsqu’il s’agit de choisir leurs victimes ». Et d’étayer son propos : « alors que des groupes tels que Maze et DoppelPaymer ciblent des organisations de taille variable dans le secteur public et privé, les victimes connues de Nefilim sont toutes des entreprises du secteur privé qui sont fermement implantées dans le secteur des entreprises ».
Dès lors, estime-t-il, « cette spécialisation peut leur permettre d’obtenir un retour sur investissement maximal de leurs attaques. Ils ne perdent pas de temps avec des organisations plus petites ; ils frappent des entreprises bien assurées qui peuvent se permettre de payer des demandes très importantes ».
Au début du mois de mai, les analystes des SentinelLabs, de SentinelOne, se sont penchés sur Nefilim, présenté comme un successeur de Nemty. « La relation exacte entre les deux acteurs est moins que claire », précisaient-ils alors, tout en relevant que Nefilim, apparu en mars dernier, « partage une portion substantielle de code avec Nemty ».
Ce dernier avait fait quant à lui son apparition en août 2019, « sous la forme d’un programme d’affiliation public, qui est depuis devenu privé ». Nefilim s’inscrit aujourd’hui dans la lignée des Maze, Revil/Sodinokibi, DoppelPlaymer, Clop, Sekhmet ou encore Ragnar qui jouent la carte de la menace de la divulgation de données dérobées avant le déclenchement du ransomware, pour renforcer les chances de réussite de leurs tentatives d’extorsion.