Revendication 8base : Volkswagen assure que son SI n’est pas touché

Surprise, ce 9 octobre : l’enseigne de rançongiciel 8base est sortie d’un silence ayant duré plusieurs mois pour publier, d’un coup, une dizaine de revendications de victimes. 

Parmi les organisations concernées, on trouve notamment le spécialiste français de l’emballage SOFPO, du groupe Rossmann, mais aussi Schumag qui s’est dit victime d’une cyberattaque fin septembre, et Volkswagen.

Sollicité par la rédaction, un porte-parole du constructeur automobile confirme la survenue d’une cyberattaque, mais… ne le concernant peut-être pas : « l’incident est connu. L’infrastructure IT du groupe Volkswagen n’est pas affectée. Nous continuons de surveiller la situation de près ». 

Se disant dans l’incapacité de fournir de date précise, il ajoute que le groupe « a connaissance de cela depuis un certain temps. Ce n’est pas quelque chose de nouveau ni de surprenant ». 

Dans sa revendication, l’enseigne 8base indique avoir obtenu les données le 23 septembre – la même date est mentionnée pour Schumag et SOFPO – et prévoir leur divulgation pour… le 26 septembre dernier. À l’heure où sont publiées ces lignes, les données en question n’ont toujours pas été publiées. 

Volkswagen n’est pas le premier constructeur automobile à faire l’objet d’une cyberattaque. Début 2023, Ferrari en a ainsi été victime, mais sans ransomware, avec toutefois vol de données. À l’inverse, si une attaque a été revendiquée contre BMW France sur le site vitrine de Play à la même période, seul un concessionnaire avait en fait été touché.

L’enseigne 8base est suivie depuis le printemps 2023 et a servi à la revendication de plus de 400 victimes à travers le monde – dont au moins 2 également apparues chez LockBit. Elle compte parmi celles qui utilisent le courrier électronique ou la messagerie chiffrée Tox pour communiquer.

8base utilise également une chaîne Telegram, quoique cette dernière soit inactive depuis près d’un an. Avant la vague de revendications du 9 octobre, l’enseigne était restée silencieuse depuis la fin juin. C’est elle qui avait été utilisée pour la revendication d’une cyberattaque contre Lyon Terminal, mi-avril dernier, notamment.