Actualites

Ransomware : Ecritel victime d’une cyberattaque impliquant Hunters International

Une cyberattaque contre l’ESN française vient d’être revendiquée sur le site vitrine de l’enseigne de cyber-extorsion Hunters International. Selon Ecritel, elle est survenue le 8 décembre et a été « déjouée ».

Valéry Rieß-Marchive
par
Publié le: 17 déc. 2024

Ce 17 décembre au matin, ransomware.live le repère : une cyberattaque contre l’entreprise de services numériques (ESN) française Ecritel apparaît sur le site vitrine de l’enseigne de rançongiciel Hunters International.

La revendication est assortie de miniatures de captures d’écran suggérant des documents contractuels et d’architecture réseau, voire même des interfaces d’outils d’administration d’infrastructure IT, ou encore… le plan de sécurité du système d’information (PSSI) d’Ecritel, lequel inclut une « politique de sensibilisation à la sécurité (PSSSI) ».

Au total, Hunters International revendique le vol d’environ 270 Go de données et présente l’attaque en indiquant avoir eu recours au chiffrement – ce qui n’est pas systématique pour les affidés de l’enseigne de ransomware.

Dans un communiqué de presse daté du 16 décembre et transmis à la rédaction, Ecritel « déclare avoir fait face à une attaque majeure » le 8 décembre et « l’avoir déjouée dans le contexte d’une forte recrudescence des cyberattaques, conséquence des tensions géopolitiques actuelles ».

Ecritel évoque une « tentative d’intrusion » avant été « rapidement détectée et arrêtée, sans effet sur la continuité de l’activité ». Pour l’ESN, cet incident « n’a engendré aucun impact ou dysfonctionnement sur les plateformes de ses clients ». 

Selon Ecritel, les attaquants prétendent « avoir interrompu [son] activité et mis la main sur des données sensibles de la société », ce que l’ESN « dément ». Et d’assurer qu’après un « contrôle total de son infrastructure, [l’] analyse et [l’] audit par une société tierce certifiée PASSI, seul un serveur interne de documents de travail des collaborateurs d’Ecritel a été compromis et partiellement exfiltré » dans le cadre de cette cyberattaque.

Ecritel rappelle disposer d’environnements certifiés « ISO 27001, HDS, PCI DSS, en cours de qualification SecNumCloud et régulièrement audités ». Nous avons demandé à Ecritel de préciser le vecteur d’intrusion initial. Nous mettrons à jour cet article si (et quand) cette information nous parvient.

Que sait-on de Hunters International ?

Le site vitrine de Hunters International a été découvert à l’automne 2023. Très vite, des liens avec Hive ont été repérés, par le chercheur rivitna, et à partir de l’analyse du code source du ransomware utilisé par Hunters International. Les équipes de Glimps ont fait les mêmes observations.

Le 24 octobre 2023, Hunters International a néanmoins réfuté toute affiliation directe avec Hive, assurant que « tous les codes sources de Hive ont été vendus, y compris le site Web et les anciennes versions Golang et C, et nous sommes ceux qui les ont achetés ». Le groupe a néanmoins récemment été surpris en plein recyclage de données issues de cyberattaques précédemment conduites sous bannière Hive.

Fin janvier 2023, l’infrastructure de Hive avait été saisie à l’occasion d’une vaste opération judiciaire internationale. Hunters International a développé un outil pour Linux permettant de réduire le risque d’une telle opération, en décentralisant le stockage des données volées à ses victimes et en laissant le contrôle total à ses affidés.

C’est loin d’être la première fois qu’une ESN est victime d’une cyberattaque et emporte avec elle ses clients. Cette année, Axido en a fait l’amère expérience, ainsi que Synertrade ou encore Octave. Fin 2023, Coaxis traversait la même épreuve. Et avant cela, en 2021, Solware avait dû faire face à Conti.

L’année 2023 a vu de nombreuses ESN frappées par des cyberattaques, en France et au-delà avec, chaque fois, un nombre conséquent d’organisations affectées indirectement.

Pour approfondir sur Menaces, Ransomwares, DDoS