[Exclusif] Pourquoi LDLC a été si peu affecté par la cyberattaque
Conformément à ce qu’indiquait le groupe au moment des faits, LDLC a bien détecté l’attaque avant que ne soit déclenché le chiffrement des systèmes compromis. C’est du moins ce que nous ont révélé les assaillants.
Le 29 novembre dernier, le groupe LDLC publiait un communiqué de presse évoquant un « incident de cybersécurité ». Le communiqué ne semble plus accessible aujourd’hui, mais l’épisode est bien mentionné dans le rapport semestriel d’activité publié le 13 décembre 2021. Selon celui-ci, l’incident avait été « détecté » et avait « entraîné un accès non autorisé aux données de l’entreprise ». Pour autant, ledit incident n’avait « pas eu d’impact sur les opérations commerciales du Groupe », selon LDLC. D’après ce qu’en disent les assaillants, le groupe Ragnar Locker, c’était exact.
Plusieurs téraoctets de données dérobés
À l’occasion de l’attaque menée contre Dassault Falcon Jet, nous avions eu un échange privé avec le groupe. Ce dernier a repris contact avec LeMagIT à la suite de la cyberattaque conduite contre LDLC.
Lors de ce nouvel échange, un interlocuteur de Ragnar Locker nous a ainsi indiqué avoir passé « plusieurs mois dans le réseau de LDLC, à étudier et télécharger des données. Environ 4 To de données ont été collectés. Des échantillons de machines virtuelles ESXi critiques ont été téléchargés, y compris ceux mentionnés comme “non compromis” » par LDLC dans sa communication publique.
Le groupe de e-commerce a précédemment concédé que « certaines données à caractère personnel ont pu être consultées », mais assuré que « cela ne concerne en aucun cas les informations sensibles relatives aux clients des sites internet marchands du groupe ».
Le 9 décembre dernier, les cyberdélinquants ont mis à disposition, au téléchargement, près de 2 To de données compressées, provenant selon eux du système d’information du groupe de e-commerce français. De quoi suggérer qu’aucune rançon n’a été payée.
Mais voilà, les assaillants semblent bien, de leur propre aveu, avoir été détectés avant de pouvoir lancer leur coup fatal et déclencher le chiffrement : « nous n’avons pas chiffré leurs données, seulement téléchargées. Et juste après que leur équipe de sécurité a repéré notre activité – comme vous pouvez le voir sur les captures d’écran – nous sommes sortis du système ». Les captures d’écran publiées par les cyberdélinquants au moment des faits n’avaient donc rien d’un pied de nez. Elles constituaient presque une concession.
Mais en l’absence de chiffrement, pas de note de demande de rançon apparaissant automatiquement après la détonation du ransomware : « un de nos équipiers aurait dû laisser des notes, mais il ne l’a pas fait. Nous avons appelé leurs bureaux et envoyé des e-mails, mais peut-être à cause du bruit médiatique, ou d’autres raisons – nous ne savons pas exactement – tous les employés raccrochaient et ne réagissaient pas aux e-mails ».
Vol d’identifiants dans le navigateur
Les assaillants nous ont indiqué avoir mis à profit un accès initial, obtenu par leurs soins, sur un serveur VPN du groupe LDLC : « le poste d’un des employés était infecté avec un stealer [malware permettant notamment de voler des données d’authentification, N.D.L.R.] et nous avons récupéré les mots de passe stockés dans son navigateur Web ». De là, ils sont parvenus à élever leurs privilèges jusqu’à devenir administrateurs du domaine Active Directory. Ils en ont ensuite profité pour accéder à l’environnement virtualisé avec VMware vSphere.
Précédemment, le groupe Ragnar Locker avait été observé utilisant des balises Cobalt Strike et les services RDP pour se déplacer dans le système d’information de ses victimes, ainsi que HandyBackup pour l’exfiltration de données. Comme le montre encore une fois le cas de LDLC, le volume de données dérobées peut être considérable.
Le stealer utilisé ne nous a pas été précisé, mais les offres pour de tels maliciels, commercialisés en mode service, ne manquent pas, à commencer par Redline ou bien Racoon Stealer, sans oublier Azorult, sur la distribution duquel s’est encore récemment penché l’analyste Max Kersten.
Nous avons sollicité le groupe LDLC pour essayer d’en savoir plus sur la manière dont la présence des assaillants dans son système d’information a été détectée, et pour avoir sa version sur la question de la durée de l’intrusion. Mais nos demandes n’ont pas reçu de réponse favorable à ce jour.