Ransomware : SPIE confirme avoir été frappé par Nefilim
Le groupe français spécialisé dans les domaines de l'énergie et des communications, indique que la détonation du rançongiciel est survenue dans la nuit du 13 au 14 juillet. Selon lui, « certains serveurs Windows » ont été affectés. Les assaillants commencent à diffuser des données dérobées à cette occasion.
SPIE rejoint la liste des entreprises refusant de céder aux pressions des cyberdélinquants les attaquant à grand coup de ransomware. Les opérateurs de Nefilim – également appelé parfois Nephilim – l’affichent désormais sur leur blog. Et de proposer au téléchargement une archive de plus de 11 Go de données compressées. Selon leurs allégations, il s’agit de données dérobées lors de leur attaque.
Contacté par la rédaction, le groupe reconnaît l’attaque et confirme l’identité du rançongiciel impliqué. Son porte-parole précise que le déclenchement est survenu « dans la nuit du 13 au 14 juillet » dernier. « Certains serveurs Windows du Groupe » ont été affectés. À cette occasion, « des données internes et des données d’un nombre très limité de clients ont pu être dérobées. Nos équipes ont très rapidement pris contact avec les clients concernés ».
Dans la déclaration adressée à la rédaction, le porte-parole de SPIE indique que « l’investigation numérique et la restauration ont été lancées dès les premières heures avec l’aide de nos partenaires ». Et d’assurer que, « à ce jour, les systèmes informatiques touchés par cette cyberattaque ont été remis en service ».
Concrètement, chez SPIE, « certaines unités opérationnelles ont été perturbées par l’indisponibilité temporaire d’applications métiers, mais l’impact de l’attaque sur le fonctionnement général de l’entreprise a été limité ». En outre, « nos équipes ont aussi très rapidement pris contact avec les clients concernés ».
Fin janvier, SPIE ICS Belgique a été affecté par un ransomware. À nos confrères de DataNews, l’entreprise indiquait alors que l’attaque avait été initialement découverte le dimanche 26 janvier en fin d’après-midi. Le lundi matin, elle avait décidé « de déconnecter 75 de ses quelque 3 000 clients des serveurs IT touchés ». Interrogé sur un éventuel lien entre les deux incidents, le porte-parole du groupe SPIE assure aujourd’hui qu’il n’y en a pas.
Quelques semaines plus tôt, c’est la filiale Neocles d’Orange Business Services qui avait été victime du ransomware Nephilim. Brett Callow, analyste chez Emsisoft, expliquait alors que « Nefilim est quelque peu inhabituel dans la mesure où [ses opérateurs] semblent être plus sélectifs que d’autres groupes lorsqu’il s’agit de choisir leurs victimes ». Et d’étayer son propos : « alors que des groupes tels que Maze et DoppelPaymer ciblent des organisations de taille variable dans le secteur public et privé, les victimes connues de Nefilim sont toutes des entreprises du secteur privé qui sont fermement implantées dans le secteur des entreprises ».
Pour Brett Callow, « cette spécialisation peut leur permettre d’obtenir un retour sur investissement maximal de leurs attaques. Ils ne perdent pas de temps avec des organisations plus petites ; ils frappent des entreprises bien assurées qui peuvent se permettre de payer des demandes très importantes ». Mais manifestement, certaines entreprises sont plus promptes à résister à l’extorsion que d’autres.