Cyberattaque : ce que l’on sait du groupe qui volé 1 To de données à Disney

Ce vendredi 12 juillet, dans l’après-midi, un groupe méconnu revendique le vol de 1,1 To de données de Disney. Selon ses affirmations, elles viendraient d’instances Slack compromises. 

Dans le lot, il y aurait des données relatives à des projets non publics, des images brutes, du code, des identifiants, des liens vers des API internes, etc.

Le groupe de cybercriminels en question s’appelle Nullbulge. Nous avions repéré un échantillon du ransomware LockBit à ses couleurs lors de notre enquête sur les indépendants utilisant ce rançongiciel sans travailler avec la franchise éponyme.

Nous ignorions alors l’existence de son site vitrine. Depuis, nous avons identifié trois noms de domaine associés à ce groupe, dont un seul est encore utilisé : nullbulge[.]se. Les dates d’enregistrement des noms de domaine associés à ce groupe suggèrent un début d’activité autour du 9 mai 2024. Il est toutefois antérieur.

Sur un forum fréquenté notamment par les cybercriminels, le groupe a créé son profil le 1^er mai 2024. Mais les informations qui nous ont été fournies sur les portefeuilles de cryptopépettes utilisés par Nullbulge font apparaître de premiers gains remontant à début mars 2024.

Le chercheur indépendant Eric Parker a d’ailleurs déjà documenté certaines activités de ce groupe, impliquant un infostealer et visant la communauté des joueurs de BeamNG. 

SentinelOne a repéré un dépôt GitHub associé au groupe et visant les enthousiastes des grands modèles linguistiques (LLM). Et de relever que le groupe n’a pas manqué de distribuer le cheval de Troie Async RAT et Xworm.