Lacroix Electronics : Alphv met en cause Group DIS

La franchise cybercriminelle continue de mettre en avant Group DIS, l’accusant d’avoir refusé de payer pour protéger les données de son client Lacroix Electronics. Et d’affirmer en divulguer les données.

[Mise à jour, le 17 mai 2023 @ 17h45] Les opérateurs de la franchise Alphv/BlackCat mettent explicitement en cause Group DIS, affirmant que l’infogéreur « a refusé de payer pour la sécurité et les données de son client ». Et d’affirmer divulguer en conséquence les données de celui qu’ils présentent comme le principal client de l’infogéreur, Lacroix Electronics. À la clé, assurent-ils, plus de 1 To de données, dont certaines pourraient avoir été exfiltrées le 27 avril 2023, selon les dates de création des dossiers. Un index de plus d’une centaine de méga-octets accompagne le téléchargement. 

A ce stade, le groupe Lacroix est le seul à évoquer une « attaque cyber ». Sur une page temporaire, Group DIS fait état d’une « situation difficile qui a un impact critique sur nos infrastructures ».

[Mise à jour, le 16 mai 2023 @ 11h35] Selon une source proche des investigations, le doute demeure, à ce stade, quant à la cinétique de la cyberattaque découverte ce samedi 13 mai. S’il est évident que Lacroix Electronics et Group DIS sont tous deux embarqués dans cette situation de crise, il n’est pas établi (à ce stade) si les assaillants s’en sont pris à l’infogéreur, faisant de Lacroix une victime collatérale, ou l’inverse, faisant de Group DIS et de ses autres clients affectés des victimes collatérales. 

[Mise à jour, le 16 mai 2023 @ 07h50] Une revendication de la cyberattaque conduite contre Group DIS (Direct Info Services) vient d’être publiée sur le site vitrine de la franchise mafieuse Alphv/BlackCat. Celle-ci fait état du vol de 4 To de données, dont 3 To de « données clients critiques (sql, serveurs de fichiers, VMs critiques » et 1 To de données appartenant à Lacroix Electronics.

Dans un communiqué à l’intention de ses investisseurs, Lacroix faisait état, hier lundi 15 mai, d’une « attaque cyber contenue » : « Lacroix annonce avoir intercepté pendant la nuit du vendredi 12 mai au samedi 13 mai une cyberattaque ciblée sur les sites français (Beaupréau), allemand (Willich) et tunisien (Zriba) de l’activité Electronics. Des mesures de sécurisation de l’ensemble des autres sites du Groupe ont immédiatement été prises ».

Découvert début décembre 2021, le ransomware Alphv/BlackCat se distingue par le langage de programmation utilisé pour son développement, Rust. Il s’avère hautement personnalisable et peut toucher les systèmes Windows, Linux, ainsi que les environnements virtualisés VMware ESXi. Ce rançongiciel avait été utilisé dans la cyberattaque conduite contre Akka Technologies au mois de mai 2022.

[Article original, le 15 mai 2023 @ 17h24] Ce lundi 15 mai au matin, le département des Côtes-d’Armor indique, sur Twitter qu’un « incident technique rend actuellement indisponible l’accès à plusieurs sites internet du département ». 

Deux jours plus tôt, le samedi 13 mai, Actu.fr indiquait que l’accès à son site avait « été perturbé à la suite d’une panne de serveurs appartenant à l’entreprise qui héberge nos contenus ». 

Dans les deux cas, les explications sont à chercher du côté de Group DIS, un spécialiste lillois de l’hébergement et de l’infogérance. Celui-ci a été racheté par Constellation à l’automne 2022. Dans un communiqué annonçant l’opération, on pouvait ainsi lire que le Group DIS « accompagne notamment les médias et les e-commerçants dans l’hébergement et l’optimisation de leur plateforme Web. Parmi eux, nous pouvons citer le 2e site de presse régional Actu.fr du groupe Publihebdos ou l’enseigne de parfums Adopt ».

Plusieurs services en ligne du département des Côtes-d’Armor sont également hébergés chez Group DIS. Sans surprise, les clients de ce dernier sont nombreux. Et il faut également compter avec ceux des prestataires de services numériques, tels des créateurs de sites Web, qui utilisent les services de l’infogéreur. Aujourd’hui, nombreux sont les sites Web hébergés sur l’infrastructure de Group DIS qui ne répondent pas, affichent une erreur de connexion à une base de données, ou retournent simplement une page blanche. 

À l’heure où sont publiées ces lignes, nous n’avons pas reçu de déclaration de Group DIS. La seule information publiquement accessible figure sur la page d’authentification d’un service en ligne de l’infogéreur : « Bonjour, nous subissons actuellement une attaque d’envergure. Nous avons pris l’initiative de couper les accès extérieurs de l’ensemble des infrastructures. Actuellement, vos services ne sont pas accessibles. Nous faisons le maximum pour rétablir la situation le plus rapidement possible ».

Ce n’est pas la première fois qu’un prestataire d’infogérance est victime d’une cyberattaque. Mi-mars, une cyberattaque a ainsi touché une partie de l’infrastructure du service OnCloud de Bouygues Telecom Entreprises (le 18 mars 2023), affectant « quelques dizaines » de clients. 

Au premier trimestre 2022, l’Agence nationale de la sécurité des systèmes d’information (Anssi) disait avoir « traité 18 compromissions » ayant affecté des ESN l’année précédente, contre 4 en 2020.

Huit cas étaient connus publiquement pour 2021, Infovista, Berger-Levrault, Solware, LinkOffice, Maitrex, Idline, un prestataire de la ville du Cannet des Maures – Inetum –, ou encore Xefi – du moins selon l’un de ses clients et les allégations d’Everest – et comme le suggèrent les données divulguées par le groupe début octobre dernier.

Fin mai 2022, Akka Technologies – racheté par Adecco et désormais rebaptisé Akkodis – avait été victime d’une cyberattaque impliquant le ransomware Alphv/BlackCat, à l’instar d’Inetum. Aucune de ces deux attaques n’a été revendiquée sur le site vitrine de la franchise mafieuse correspondante.

Fin septembre 2022, c’était au tour d’ITS Group d’être confronté à une cyberattaque impliquant un rançongiciel. Celle-ci a depuis été revendiquée par le groupe Play. Fin 2022, l’ESN néo-zélandaise Mecury IT a été confrontée à la franchise mafieuse LockBit, de même que Kearney & Company, et AFD.Tech (Accenture) a évoqué une « tentative d’activité irrégulière », sans plus de précision.

Pour approfondir sur Menaces, Ransomwares, DDoS