Polycorp en PĂ©ril : le ransomware Chaos menace de divulguer 400 Go de secrets dâentreprise
Le groupe cybercriminel notoire « Chaos » revendique un vol massif de données chez le fabricant canadien Polycorp, exigeant un contact sous 48 heures sous peine de publication des informations.
CâĂ©tait un lundi ordinaire dans les couloirs industriels de lâOntario lorsquâun message glaçant sâest propagĂ© dans les cercles souterrains de la cybersĂ©curitĂ© : Polycorp, un acteur clĂ© canadien spĂ©cialisĂ© dans les piĂšces Ă©lastomĂšres techniques, est devenue la derniĂšre victime de haut niveau du groupe de ransomware « Chaos ». Les criminels affirment avoir exfiltrĂ© la somme vertigineuse de 400 Go de donnĂ©es sensibles de lâentreprise, imposant Ă Polycorp un ultimatum de 48 heures pour rĂ©pondre - sous peine de voir ses secrets exposĂ©s publiquement en ligne.
La prĂ©sence de Polycorp sâĂ©tend Ă travers des secteurs dĂ©pendant de matĂ©riaux techniques pour la rĂ©sistance Ă la corrosion, Ă lâabrasion et aux chocs. DĂ©sormais, ses dĂ©fenses numĂ©riques ont cĂ©dĂ© sous le poids dâune cyberattaque sophistiquĂ©e. Selon les informations publiĂ©es sur des sites de suivi de ransomwares, la brĂšche pourrait avoir dĂ©butĂ© par un malware infostealer - des programmes furtifs conçus pour rĂ©colter des identifiants - dĂ©tectĂ© chez au moins un employĂ© de Polycorp et des milliers de comptes utilisateurs liĂ©s Ă lâentreprise. Cette infection aurait probablement ouvert la voie Ă Chaos pour Ă©lever ses privilĂšges, se dĂ©placer latĂ©ralement dans les systĂšmes de Polycorp et siphonner dâimmenses quantitĂ©s de donnĂ©es.
Le message des attaquants est sans dĂ©tour : payez (ou du moins, entamez des nĂ©gociations), ou regardez 400 Go de plans propriĂ©taires, de dossiers financiers, de contrats et peut-ĂȘtre de donnĂ©es sensibles sur les employĂ©s apparaĂźtre sur le dark web. Les dĂ©tails techniques rĂ©vĂ©lĂ©s aprĂšs lâattaque montrent une large surface dâattaque externe, avec plus de 100 points dâentrĂ©e exposĂ©s et un rĂ©seau de services cloud - de Microsoft 365 Ă Atlassian, Box et Cisco - potentiellement impliquĂ©s dans la brĂšche.
Le mode opĂ©ratoire de Chaos est dâune efficacitĂ© redoutable. En exploitant les infections par infostealer, ils contournent les dĂ©fenses pĂ©rimĂ©triques traditionnelles, utilisant des identifiants volĂ©s pour se dĂ©placer sans ĂȘtre dĂ©tectĂ©s et frapper au cĆur de leurs cibles. Les menaces du groupe ne sont pas vaines : des victimes prĂ©cĂ©dentes ont vu leurs fichiers confidentiels, leur documentation technique, voire des donnĂ©es personnelles publiĂ©es en ligne lorsque les dĂ©lais nâĂ©taient pas respectĂ©s.
Pour Polycorp, les prochaines 48 heures pourraient ĂȘtre dĂ©cisives. Lâentreprise fait face Ă un choix difficile : nĂ©gocier avec les criminels et risquer dâencourager de futures attaques, ou tenir bon et se prĂ©parer aux consĂ©quences rĂ©putationnelles et opĂ©rationnelles dâune fuite de donnĂ©es catastrophique. Dans tous les cas, cette brĂšche rappelle brutalement les vulnĂ©rabilitĂ©s qui guettent mĂȘme les acteurs industriels les plus Ă©tablis - et lâĂ©volution des tactiques des groupes de ransomware, qui utilisent dĂ©sormais les identifiants volĂ©s comme arme de prĂ©dilection.
Perspectives
Alors que Polycorp sâefforce dâĂ©valuer lâampleur de la brĂšche et de sĂ©curiser ses frontiĂšres numĂ©riques, les experts en cybersĂ©curitĂ© avertissent que les attaques par ransomware alimentĂ©es par des infostealers sont en hausse. Pour toutes les organisations, la leçon est claire : votre maillon le plus faible nâest peut-ĂȘtre pas votre pare-feu, mais un simple mot de passe compromis.
WIKICROOK
- Ransomware : Le ransomware est un logiciel malveillant qui chiffre ou verrouille des donnĂ©es, exigeant une rançon des victimes pour rĂ©tablir lâaccĂšs Ă leurs fichiers ou systĂšmes.
- Infostealer : Un infostealer est un malware conçu pour voler des donnĂ©es sensibles - comme des mots de passe, des cartes bancaires ou des documents - sur des ordinateurs infectĂ©s Ă lâinsu de lâutilisateur.
- Exfiltration de donnĂ©es : Lâexfiltration de donnĂ©es est le transfert non autorisĂ© de donnĂ©es sensibles du systĂšme dâune victime vers le contrĂŽle dâun attaquant, souvent Ă des fins malveillantes.
- Surface dâattaque externe : La surface dâattaque externe comprend tous les systĂšmes ou services accessibles depuis Internet que des attaquants pourraient cibler pour exploiter des vulnĂ©rabilitĂ©s dâune organisation.
- Services cloud : Les services cloud sont des plateformes en ligne pour stocker et traiter des données, souvent ciblées par des attaquants cherchant à dissimuler leurs activités ou à voler des informations.
