Décidément, il ne se passe pas une semaine sans qu’une grande entreprise ne soit victime d’un ransomware. Après Canon, LG, Xerox, Cognizant, c’est au tour du groupe Spie d’être épinglé par un rançongiciel. Le prestataire de service dans les domaines de l'énergie et des communications (47 200 employés et 6,9 milliards d'euros de CA en 2019) a été victime du gang Nefilim (ou Nephilim), selon des chercheurs de la société Cyble. Ils ont sonné l’alerte après avoir trouvé un post du gang qui a publié une archive des données exfiltrées suite au piratage de Spie Group.
Cette archive de 11,5 Go de données comprend des documents opérationnels comme des contrats de services télécoms, des cessations d’activités, des procurations, des contrats pour des reconstructions d’infrastructure de groupes, etc. Au total, 65 042 fichiers et 18 851 dossiers ont été rendus publics. Et le hic, c’est que cette publication est affichée comme étant une première partie. Il faut donc s’attendre à une autre livraison de documents, à moins qu'il ne s’agisse d’un moyen de négociation de la rançon par le groupe de pirates. Les attaques par ransomwares se suivent et se ressemblent : infiltration dans le réseau de l’entreprise, exfiltration de données, chiffrement des données, demande de rançon, échec des premières négociations, publication d’un échantillon des documents volés, renégociation pour obtenir le déchiffrement des données.
Une attaque à l’aube de la fête nationale
Le groupe Spie a reconnu l’attaque ainsi que l’identité du gang. « L’attaque est intervenue dans la nuit du 13 au 14 juillet 2020 et le périmètre a concerné certains serveurs Windows du groupe », précise un porte-parole de l'entreprise. Aujourd’hui, l’ensemble des systèmes ont été remis en service, même si Spie reconnait que « certaines unités opérationnelles ont été perturbées par l’indisponibilité temporaire d’applications métiers ». Avant d’ajouter que « l’impact de l’attaque sur le fonctionnement général de l’entreprise a été limité ».
Par ailleurs, Spie relativise le vol d'informations en soulignant que « des données internes et des données d’un nombre très limité de clients ont pu être dérobées. Nos équipes ont très rapidement pris contact avec les clients concernés ». Les différentes autorités ont été contactées et notifiées. Une plainte a été déposée, souligne le porte-parole.
Le gang Nefilim semble s’être spécialisé dans les prestataires multi-services. Ainsi, le 29 juillet dernier, le groupe allemand Dussmann (64 500 employés dans 22 pays) a été victime de ce rançongiciel. En juin dernier, c’était au tour du groupe indien de plateformes pétrolières Aban Offshore d’intégrer le triste palmarès des cybercriminels.