kaptn - Fotolia
Grand Palais RMN : la cyberattaque est imputée au groupe Brain Cipher
Ce groupe est apparu récemment avec une première victime d’importance : le centre de calcul national indonésien. Début juillet, il a ouvert sa vitrine, sur laquelle il épingle ses victimes. Il utilise le rançongiciel de LockBit 3.0, mais sans travailler pour la franchise mafieuse.
Des sources concordantes nous l’affirment : le groupe de cybercriminels impliqué dans la cyberattaque conduite contre le Grand Palais RMN, il y a une semaine, s’appelle Brain Cipher.
« Une cyberattaque a touché le Grand Palais Réunion des musées nationaux dans la nuit du 3 au 4 août », indiquait la victime, deux jours plus tard, dans un bref communiqué de presse. Ce dernier ne mentionnait pas l’enseigne cybercriminelle impliquée.
Brain Cipher compte parmi les cybercriminels utilisant un « builder » LockBit 3.0, qui a échappé à la franchise en septembre 2022. Les acteurs malveillants utilisant ce builder pour conduire des cyberattaques avec rançongiciel présentent des niveaux d’avancement différents dans leurs méthodes d’extorsion.
La majorité de ceux qui sont observables à partir d’échantillons téléversés dans des bacs à sable d’analyse de maliciels (à commencer par le célèbre Virus Total) pourrait se contenter d’extorsion simple. À savoir du chiffrement de données sans vol préalable, quand d’autres ont déjà mis en place un environnement de gestion des négociations, voire de divulgation de données exfiltrées du système d’information de leur victime.
Les enseignes DragonForce et SensayQ font partie de ce dernier groupe, mais, fin juin, la montée en gamme de Brain Cipher était attendue. À cette période, l’interface de négociation de l’enseigne était encore assez basique, mais sa seule existence suggérait celle d’un backend de gestion des négociations et des paiements, tel qu’un système de gestion de tickets de support ou de relation client.
La vitrine de Brain Cipher est finalement apparue début juillet, avec une première revendication : le gouvernement indonésien. Brain Cipher lui a demandé 8 millions de dollars, misant sur l’impact conséquent de sa cyberattaque : les services de plus de 200 agences gouvernementales ont été affectés par la cyberattaque conduite contre le centre de calcul national du pays.
Selon nos informations, l’Agence nationale de la sécurité des systèmes d’information (Anssi) avait déjà été informée, en juin, d’une cyberattaque impliquant Brain Cipher. Mais aucune donnée volée à la victime n’a été rendue publique, laissant ouverte la possibilité que le groupe ne pratique pas systématiquement l’exfiltration et la divulgation de données. Ou peut-être seulement pas encore.