Lana_M - stock.adobe.com

Cyberattaque : Hive demande deux millions de dollars à Damart

Le groupe de vente par correspondance se relève progressivement d’une cyberattaque survenue mi-août. L’assaut, impliquant le ransomware Hive, a pu être stoppé avant que les dégâts ne soient trop étendus.

[Mise à jour, le 1er septembre 2022 @ 16h15] LeMagIT a obtenu une note déposée lors du chiffrement par le ransomware Hive qui mène à un espace de négociation dédié à Damartex. Celui-ci suggère qu’aucune discussion n’a été engagée entre Damart et ses assaillants. Le premier message est daté du 31 août et provient de ces derniers, indiquant : « pour déchiffrer vos systèmes, vous devez payer 2 000 000 $ en Bitcoin. Ce prix est définitif et n’est pas sujet à discussion » (voir capture ci-dessous). 

Ces éléments suggèrent qu’il y a bien eu déclenchement, ne serait-ce que limité, du chiffrement, conformément à ce que Damart évoquait précédemment. Nous avons demandé à un porte-parole de l’entreprise si celle-ci a des commentaires additionnels à formuler. Nous mettrons à jour cet article si et quand ils nous parviendront. 

[Article original, le 24 août 2022 @ 16h10] Le mercredi 17 août, le service client de Damart France se disait dans l’incapacité d’accéder à certaines applications, et ce depuis la veille au soir. Le lendemain, le groupe de vente par correspondance semblait avoir mis en place une procédure de prise de commandes en mode dégradé, pour les personnes disposant d’un numéro de client.

Sollicité par téléphone à ce moment-là, un porte-parole du groupe expliquait que Damart était effectivement confronté à une cyberattaque et qu’une intrusion avait pu être détectée avant que ne soit déclenché le chiffrement de systèmes dans son environnement IT. De nombreux applicatifs avaient été mis à l’arrêt, afin d’éviter des dégâts additionnels.

À nos confrères du Parisien, Damart explique aujourd’hui que les attaquants « ont tout de même lancé le chiffrement partiel, c’est-à-dire la paralysie informatique, des serveurs techniques ». Avant cela, ils sont parvenus à atteindre l’annuaire Active Directory.

Capture d'écran de l'espace de discussion créé par Hive pour Damart.
Capture d'écran de l'espace de discussion créé par Hive pour Damart.

Dans un échange de messages avec la rédaction, un porte-parole de Damart indique que l’intrusion « a eu lieu dans la nuit du lundi 15 au mardi 16 août ». L’assaillant « a commencé à installer des backdoors, mais il a été par chance détecté. L’équipe technique a commencé à couper les capacités d’appel sortant pour que le cheval de Troie ne puisse pas se connecter ».

C’est là que le chiffrement a été lancé dans la précipitation, avec le ransomware Hive. « Mais comme les équipes de Damart étaient en monitoring, elles ont arrêté les serveurs, d’où le service dégradé aujourd’hui ».

Un tel scénario n’est pas sans rappeler le déroulement de la cyberattaque conduite par Ragnar Locker contre LDLC, en décembre dernier. De leur propre aveu, les assaillants avaient été détectés avant de pouvoir lancer leur coup fatal et déclencher le chiffrement : « nous n’avons pas chiffré leurs données ». Mais ils n’en avaient pas moins eu le temps de télécharger quelques téraoctets de données.

De son côté, le porte-parole de Damart indique – non sans prudence – : « pour l’instant aucune fuite de données personnelles de clients ou internes n’a toujours été détectée » (sic).

Pour approfondir sur Menaces, Ransomwares, DDoS