Le gang Ragnar Locker diffuse des publicités sur des comptes Facebook piratés

Le 2 novembre 2020, une cyberattaque a été lancée contre une société de boissons de marque italienne populaire Davide Campari-Milano S.p.A., également connue sous le nom de Campari. L’entreprise a publié une déclaration[1] le 6 novembre, en admettant avoir subi une attaque de malware et avoir contenu le problème depuis.

Famille de ransomwares Ragnar Locker[2] les créateurs ont reconnu être à l’origine de l’attaque et ont demandé une rançon de 15 millions de dollars. On sait que les cybercriminels ont chiffré les données sensibles sur les ordinateurs et les serveurs et ont volé une grande partie de ces fichiers. Comme toujours, les acteurs de la menace intimident l’entreprise d’accepter leurs conditions, ou les données volées seront rendues publiques, exposant ainsi les plans de l’entreprise, les informations bancaires, les détails des employés, les dessins, les coordonnées privées, etc.

Le gang Ragnar Locker diffuse des publicités sur des comptes Facebook piratés

Campari est un producteur de boissons alcoolisées basé en Italie créé en 1980 et est connu pour des boissons telles que Grand Marnier, Aperol, Skyy Vodka et autres. Les boissons sont actuellement distribuées dans plus de 190 pays à travers le monde.

Les comptes Facebook de Campari piratés sont désormais utilisés pour l’extorsion d’argent

Cette fois, les développeurs de ransomwares Ragnar Locker ont franchi une étape supplémentaire pour pousser leurs victimes à se soumettre. Comme signalé pour la première fois[3] par Krebs sur la sécurité, des cybercriminels ont piraté des comptes publicitaires de Facebook Inc. et ont commencé à les utiliser pour acheter des campagnes publicitaires. En faisant cela, les pirates cherchent à forcer leurs victimes à répondre à leurs demandes, c’est-à-dire à leur payer la rançon demandée – c’est encore une autre façon d’extorquer de l’argent.

Dans le communiqué de presse du groupe Campari, la société a déclaré:

… Nous reconnaissons qu’il y a eu une perte de données… À ce stade, nous ne pouvons pas exclure complètement que certains

des données personnelles et professionnelles ont été collectées.

Le gang Ragnar Locker a rapidement réagi à cette déclaration et y a répondu sur la publicité Facebook, intitulée « Faille de sécurité du réseau du groupe Campari »:

C’est ridicule et ressemble à un gros mensonge. Nous pouvons confirmer que des données confidentielles ont été volées et nous parlons d’un énorme volume de données.

Les cybercriminels ont également déclaré avoir volé deux téraoctets de données de l’entreprise et que le groupe Campari a jusqu’au 10 novembre 18 h 00 HNE pour négocier un accord avec eux. Sinon, toutes les informations volées seront exposées, c’est-à-dire rendues publiques. Selon l’équipe de Ragnar Locker, ils ont volé des fichiers comptables, des relevés bancaires, des informations personnelles de clients et d’employés (tels que des numéros de sécurité sociale, des adresses, etc.), des accords de non-divulgation, des rapports d’audit, des courriels, et bien plus encore.

Brian Krebs a informé qu’après avoir parlé avec Chris Hudson, propriétaire du compte Facebook à partir duquel les publicités de Ragnar Locker ont été diffusées, il a découvert que la publicité avait été affichée à plus de sept mille utilisateurs de Facebook avant que le géant des médias sociaux ne détecte la campagne frauduleuse et ne la supprime. .

Pourquoi l’attaque de Campari est-elle importante

Les ransomwares constituent une menace importante pour les entreprises, les PME et les particuliers depuis le milieu des années 2000 [4]. Depuis, à partir d’un code de chiffrement raisonnablement simple, il évolue rapidement. Ransomware en tant que service[5] a également acquis une immense popularité parmi les gangs de ransomwares.

Le principe de base des ransomwares est très simple: verrouiller les fichiers de l’entreprise ou de l’utilisateur puis demander une rançon en échange d’une clé de déchiffrement. Les acteurs de la menace qui s’attaquent à des cibles plus importantes ont rapidement remarqué que les entreprises restauraient les données à partir des sauvegardes, rendant ce type d’extorsion inefficace.

Fin 2019, le ransomware Maze a introduit une nouvelle façon de faire payer les victimes en volant des informations d’entreprise sensibles avant de déployer des crypto-malware. En conséquence, chaque attaque de ransomware devait être traitée comme une violation de données majeure. Les victimes des cybercriminels ont commencé à payer des millions de dollars afin d’éviter que les données des clients et des entreprises ne soient exposées publiquement.

Il semble que l’attaque de Campari a marqué une autre étape importante pour les fabricants de ransomwares et leurs cibles, car les comptes de médias sociaux sont maintenant utilisés pour faire payer les victimes. Cet incident n’est probablement que le début, donc les cibles potentielles devraient investir dans la cybersécurité et éduquer le personnel pour éviter les intrusions non sollicitées sur les serveurs.

Tags: