Ransomware : Everest continue de menacer Xefi et ses clients
Le groupe a revendiqué une cyberattaque contre le prestataire de services en juin dernier. Il affirme toujours disposer d’accès dans les systèmes d’information de nombreux clients de Xefi, lequel se refuse à commenter.
Depuis le printemps, le groupe Everest enchaîne les victimes en France : Assurcopro – le premier – fin mai, puis sont venus Epsilon Hydraulique, le groupe Confiance Immobilier, Alispharm, Steel Projects, et enfin Precredit. Ils ont en commun un prestataire : Xefi, contre lequel Everest a revendiqué une cyberattaque fin juin. Le groupe a également affirmé avoir touché Xmedicalpicture, une entité du groupe Xefi.
Bruno Zonca, DSI de Precredit, est affirmatif : Everest « ne nous a pas attaqués directement. Ils ont attaqué Xefi ».
Le 26 septembre, les cyberdélinquants publiaient une liste de près de 40 organisations pour lesquelles ils affirment disposer « d’accès fonctionnels ». Autrement dit : des points d’entrée dans leur système d’information.
Florent Curtet, fondateur de NeoCyber et spécialiste du renseignement sur les menaces, est entré en contact avec Everest, notamment pour prévenir les cibles potentielles du risque « pour qu’elles fuissent faire des sauvegardes avant que leurs données ne soient crypto-lockées ».
S’il n’a pas vérifié que les accès revendiqués par Everest étaient réellement exploitables, les captures d’écran que le groupe lui a fournies « me laissent à penser qu’ils ont encore des accès administrateur, notamment sur des équipements de sécurité, à la fois chez Xefi et certains de ses clients », indique-t-il.
Une campagne étalée sur plusieurs mois
Ce vendredi 8 octobre, le groupe Everest a mis en ligne une nouvelle archive de données qu’il dit liées à Xefi. Nous les avons consultées avant d’en supprimer toute copie. On y trouve plusieurs listes de comptes utilisateur et administrateur, avec mot de passe, des configurations OpenVPN et IPSec, voire des archives de certificats numériques au format PFX, assorties du mot de passe correspondant, et cela pour plusieurs organisations. Dont Odealim, la maison-mère d’Assurcopro.
Les dates de création de certains fichiers, dont le rapport d’intervention d’Inquest pour Assurcopro, suggèrent que les données ont été exfiltrées par les attaquants le 27 mai. La plus récente date de création de fichiers dans le lot est le 12 juillet 2021, pour un fichier Excel détaillant un plan d’action dit « crypto vague 2 » et visant apparemment à suivre et bloquer un intrus.
Bruno Zonca indique avoir appris que Precredit était menacé le 17 septembre, par Florent Curtet. Le DSI indique avoir cherché, par la suite, à interroger Xefi sur le sujet. Et d’expliquer qu’il lui a été répondu que rien ne s’était passé : « ce n’est qu’hier [le 27 septembre, N.D.L.R.], qu’ils ont convenu qu’ils avaient été attaqués ». Et encore après qu’il ait appelé lui-même, parce que plus personne, chez Precredit, n’avait accès à sa messagerie électronique, précise-t-il.
Xefi se refuse à commenter
Everest l’assure : « Xefi était au courant des attaques ». Florent Curtet explique de son côté avoir tenté d’aborder le sujet avec l’ESN, à plusieurs reprises, mais en vain. Mais il a continué à échanger avec Everest : « j’ai essayé de les ralentir au maximum ».
Nous avons eu un échange téléphonique avec Sacha Rosenthal, le PDG de Xefi, à la suite de la revendication d’Everest d’une attaque contre Steel Projects. Le lendemain de cet entretien, il nous a fait savoir, par le biais de son avocat, qu’il s’opposait à toute citation des propos qu’il avait tenus lors de cette conversation, durant laquelle il a refusé de répondre à nos questions.
En janvier 2020, Xefi avait été la cible d’une cyberattaque. L’Agence nationale pour la sécurité des systèmes d’information (Anssi) l’évoque elle-même, expliquant que l’ESN avait alors « été compromise par un rançongiciel, qui s’est propagé sur les réseaux de ses clients par le biais d’un outil de supervision. 200 entreprises du Centre-Est de la France ont ainsi été affectées à plus ou moins grande échelle ».