En action depuis 2018, l'opérateur de ransomware as a service Snatch a fait de l'extorsion de fonds via des affiliés sa spécialité. Il a même été parmi les premiers cybergangs à mettre en ligne un site de fuite de données pour donner de la visibilité aux demandes de rançons. Pourtant, ce n'est que depuis ce 14 décembre que le groupe de piratage indique avoir visé le géant de l'agroalimentaire Kraft Heinz alors que l'annonce du leak remonterait en fait au 16 août dernier. « Nous examinons les allégations selon lesquelles une cyberattaque s'est produite il y a plusieurs mois sur un site web de marketing mis hors service et hébergé sur une plateforme externe, mais nous ne sommes actuellement pas en mesure de vérifier ces allégations », a expliqué un porte-parole de Kraft Heinz à BleepingComputer. « Nos systèmes internes fonctionnent normalement et nous ne voyons actuellement aucune preuve d'une attaque plus large ».
Contrairement à ses habitudes, Snatch n'a pas publié d'extraits de fichiers volés, et le fait de ne faire connaître ce leak que maintenant alors qu'il remonte à cet été peut laisser penser à un coup de pression de la part des pirates pour voir aboutir de possibles négociations avec Kraft Heinz concernant une demande de rançon. Kraft Heinz constitue une cible de choix, la société employant environ 40 000 personnes dans plus de 40 pays pour un chiffre d'affaires de 26 Md$ en 2022.
Snatch bien cerné par le FBI et la CISA
Le FBI et la CISA (cybersecurity and infrastructure security agency) ont publié en septembre dernier un document détaillé sur le cybergang par ransomware Snatch en septembre dernier, avertissant que les pirates étaient basés en Russie et qu'ils visaient des organisations dans les secteurs de l'agriculture, des technologies de l'information et de la défense. La CISA a notamment mis en garde contre les tactiques de Snatch consistant à exploiter les vulnérabilités du protocole de bureau à distance et à passer de longues périodes sur le réseau d'une victime avant de lancer une attaque. L'approche de ce cybergang en matière d'attaques par ransomware serait méticuleuse et implique souvent une surveillance prolongée dans le réseau de ses victimes. Au cours de l'année écoulée, au moins 95 entreprises ont été ciblées par Snatch.
On ne sait pas encore comment Snatch a pu accéder à Kraft Heinz, mais sa méthodologie d'attaque est déjà bien documentée : « Snatch est connu pour compromettre des systèmes et les faire redémarrer en mode sans échec afin de collecter et d'exfiltrer des logs d'informations pertinentes et de chiffrer les fichiers des victimes », a indiqué Andrew Costis, chef d'équipe de recherche en cybermenaces chez AttackIQ. « Les opérateurs malveillants Snatch ont constamment fait évoluer leurs tactiques pour tirer parti des tendances actuelles dans l'espace cybercriminel et ont exploité les succès des opérations d'autres variantes de ransomware ».