Davizro Photography - stock.adob
Ingenico : Snatch essaie de recycler de vieilles données
Un porte-parole d’Ingenico indique que la revendication de Snatch ne trahit pas la moindre cyberattaque ou brèche récente. Le groupe semble bien chercher, comme d’autres avant lui, à monétiser des données dérobées il y a plusieurs années.
[Mise à jour, le 2 mars @ 17h30] La revendication publiée par Snatch ce lundi 27 février 2023 n’a pas manqué de générer une inquiétude certaine. Mais un nombre croissant d’éléments suggère qu’elle est infondée.
Lors d’un échange téléphonique avec la rédaction, un porte-parole d’Ingenico explique que l’examen des captures publiées sur le portail de Snatch fait ressortir des vieilles données, datant de 2019. Des fichiers qui circuleraient donc sur les marchés noirs de la donnée volée, depuis plusieurs années. Mais pour le porte-parole, cela ne fait pas de doute : il n’y a aucun incident en cours ni cyberattaque actuellement.
De fait, des données datant au mieux de 2019, pour les plus récentes, ont bien été précédemment mises en vente sur divers canaux.
Au mois de juillet 2022, un cybercriminel assurait, sur un forum russophone bien connu, avoir à sa disposition du code source d’Ingenico, accès à ses annuaires ActiveDirectory, à ses mots de passe SSH, ou même encore la documentation complète du système d’information du groupe.
Un chercheur surnommé Clandestine nous a fourni la liste de fichiers que proposait le cybercriminel en été 2022 à ses prospects : plus de 47 000 fichiers, mais seulement un de 2019, une majorité de 2018, et le reste encore plus ancien. Il nous a par ailleurs été confirmé que l’une des captures d’écran présentées par Snatch pour sa revendication provient de l’un de documents avancés par le vendeur de juillet dernier.
[Article original, le 28 février 2023 @ 17h10] La revendication n’est pas passée inaperçue. Publiée ce lundi 27 février 2023 dans la soirée sur le site vitrine de Snatch, elle épingle ouvertement Ingenico.
Le volume de données volées n’est pas précisé. Seules sont fournies quelques captures d’écran visant à appuyer la revendication. Selon l’analyste Gi7w0rm, il faut y voir des « identifiants administrateur maquillés pour toutes les zones réseau auxquelles vous attendre en entreprise ». En outre, « il semble y avoir les plans réseau et les plans de mise en place des VPN ».
LeMagIT a pu consulter la revendication, mais à l’heure où sont publiées ces lignes, le site vitrine de Snatch est inaccessible.
Ingenico est un acteur incontournable des paiements électroniques, avec une présence dans 37 pays, 40 millions de terminaux de paiement électronique déployés, ou encore plus de 2 500 applications de paiement. Le groupe a récemment annoncé la signature d’un partenariat avec Binance afin de proposer une solution d’acceptation de paiement en cryptomonnaies en magasin, avec ses terminaux Axium.
Contacté ce mardi 28 février au matin, Ingenico n’a pas répondu à notre demande de commentaires à l’heure où sont publiées ces lignes.
Connu initialement pour pratiquer la cyberextorsion à coup de rançongiciel, le groupe Snatch a évolué et assure désormais se concentrer sur le vol et la revente de données. En avril 2022, ce groupe de cybercriminels a notamment revendiqué une cyberattaque contre le Français Hemeria, avant de rendre disponibles au téléchargement 400 Mo de données présentées comme volées dans son système d’information. Snatch est récemment revenu à la charge en proposant de nouveau à la vente les données présentées comme dérobées l’an dernier.
Au mois de juillet 2022, un cybercriminel assurait, sur un forum russophone bien connu, avoir à sa disposition du code source d’Ingenico, accès à ses annuaires ActiveDirectory, à ses mots de passe SSH, ou même encore la documentation complète du système d’information du groupe.