Actualites

Ransomware : Hunters International demande 10 millions de dollars à Hoya

Le spécialiste japonais de l’optique, et notamment des verres ophtalmologiques, a été victime d’une cyberattaque fin mars. L’enseigne de ransomware Hunters International est impliquée, exigeant 10 millions de dollars de rançon.

Valéry Rieß-Marchive
par
Publié le: 10 avr. 2024

Fin mars, la société japonaise de fabrication d’optiques Hoya Corp. a arrêté la production de plusieurs de ses produits à la suite d’une défaillance de système probablement causée par un accès non autorisé à ses serveurs. 

Le 4 avril, Hoya a indiqué avoir détecté une anomalie dans l’un de ses bureaux à l’étranger le samedi précédent et tenté d’isoler les serveurs affectés, déplorant un probable « accès non autorisé ».

Au Japon, nos confrères de Jbpress évoquent aujourd’hui une cyberattaque avec ransomware : « le groupe de cybercriminalité Hunters International a publiquement révélé son implication dans l’attaque contre Hoya aux parties prenantes », indiquent-ils.

De fait, si le groupe n’a pas encore publiquement revendiqué cette attaque au moment où ces lignes sont publiées, il semble bien impliqué. Selon nos informations, une rançon de 10 millions de dollars a été initialement demandée et les cybercriminels ont assuré avoir dérobé plus de 1,7 million de fichiers pour un total de 2 To de données. 

Capture d'écran de l'interface mise à disposition des négociateurs pour Hoya, sur l'infrastructure de Hunters International.
Capture d'écran de l'interface mise à disposition des négociateurs pour Hoya, sur l'infrastructure de Hunters International.

Menacer d’informer en masse clients, partenaires, employés et concurrents d’une victime fait partie de leur mode opératoire. Ils appliquent également une politique de non-négociation à certaines de leurs victimes, ce qu’ils ont fait pour Hoya, selon les éléments qui ont été portés à notre attention. Un négociateur aurait ainsi initialement proposé 1,5 million de dollars, en vain, puis 4 millions, toujours en vain, se heurtant à un cybercriminel ouvertement intraitable.

Nous avons sollicité les commentaires du service de presse de Hoya, sans résultat pour le moment.

Capture d'écran de la rançon exigée de Hoya par Hunters International
Rançon exigée de Hoya par Hunters International, avec politique de zéro-remise.

Le site vitrine de Hunters International a été découvert à l’automne dernier. Très vite, des liens avec Hive ont été repérés, par le chercheur rivitna, et à partir de l’analyse du code source du ransomware utilisé par Hunters International. Les équipes de Glimps ont fait les mêmes observations.

Le 24 octobre dernier, Hunters International a toutefois réfuté toute affiliation directe avec Hive, assurant que « tous les codes sources de Hive ont été vendus, y compris le site web et les anciennes versions Golang et C, et nous sommes ceux qui les ont achetés ». Le groupe a néanmoins récemment été surpris en plein recyclage de données issues de cyberattaques précédemment conduites sous bannière Hive.

Pour approfondir sur Menaces, Ransomwares, DDoS