La Poste Mobile : la rançon initiale aurait été de 1,4 million de dollars
L’assaillant vient de publier ce qu'il présente comme la conversation survenue avec sa victime début juillet. Selon celle-ci, l’échange n’a duré que quelques jours durant lesquels les cybercriminels ont fortement réduit leurs exigences.
[mise à jour, le 14 août 2022 @ 14h45] Dans une déclaration adressée à la rédaction par e-mail, la direction de la communication du groupe La Poste indique : « La Poste Mobile a refusé de payer la rançon qui lui était demandée. Nous n'avons pas d'autres commentaires à apporter ».
[article original, le 13 août 2022 @ 12h38] Surprise, plus d’un mois après la découverte de la cyberattaque avec ransomware lancée contre La Poste Mobile par l’un des affidés de la franchise mafieuse LockBit 3.0. Celui-ci vient de mettre à profit l’une des nouvelles fonctionnalités de la vitrine de la franchise : la divulgation des négociations. Ou du moins de ce que l’affidé présente comme l’échange survenu avec un interlocuteur œuvrant pour le compte de La Poste Mobile.
Selon les données publiées sur le site vitrine de LockBit 3.0, une première connexion à l’espace de discussion en direct a été établie dans l’après-midi du 6 juillet. L’assaillant a alors fourni un « petit échantillon de l’export de votre base de données ». Mais la conversation n’a été entamée que deux jours plus tard, le 8 juillet, soit le lendemain de la publication de la revendication de la cyberattaque. Avec deux questions, côté victime : quelle quantité de données a été exfiltrée et à combien s’élèvent les exigences. Réponse de l’affidé : plus d’un 1 To de données, et 1,4 million de dollars.
Côté victime, l’interlocuteur semble initialement chercher à en savoir plus sur la quantité et la nature des données effectivement dérobées, demandant de nouveaux échantillons. Avant, quelques heures plus tard, de se résoudre à « attendre vos premières publications ».
Lors du dernier échange en date du 8 juillet, l’affidé affirme que « l’une des bases est prête pour publication lundi », le 11 juillet donc. Sans attendre cette échéance, et dès le 9 l’interlocuteur pour la victime reprend la conversation et propose 100 000 $. L’assaillant transige immédiatement, revoyant fortement ses exigences à la baisse : 600 000 $.
Côté victime, l’anglais utilisé dans l’échange trahit une personne francophone ne maîtrisant pas certains idiomes britanniques ou américains : elle traduira ainsi littéralement « sans billes, je ne peux pas négocier ». L’affidé comprend, souligne qu'il n'oubliera pas cette expression, et fournit des échantillons additionnels. Auxquels répond l’interlocuteur pour la victime : « vous n’avez rien de plus croustillant ? »
Le 10 juillet, l’assaillant fait une nouvelle et dernière proposition : 300 000 $. Réponse côté victime : « 150 000 $ pas plus ». Le lendemain, alors qu’une nouvelle publication est engagée, la réponse finale tombe : « la direction ne veut plus payer, pas même 100 000 $ ; elle a reconsidéré sa décision. J’ai fini mon travail… au revoir ». Mais l’affidé ne laisse pas tomber l’affaire, tendant une perche, « au cas où la direction change d’avis ». Il y avait encore quelques jours avant la publication du reste des données.
Nous avons sollicité le service de presse de La Poste en demandant si le groupe confirme l’authenticité de cet échange. Cet article sera mis à jour avec les réponses qui nous seront éventuellement adressées.