Campari Group victime du ransomware Ragnar Locker. Les cybercriminels ont volé 2 To de données sensibles

Et demandent 15 Ms$ pour déverrouiller les fichiers et supprimer les données volées

La popularité des menaces de ransomware ne semble pas diminuer. Au lieu de cela, des attaques de ransomware plus nombreuses et plus sophistiquées sont déployées. Parmi elles, figure Ragnar Locker, un ransomware qui affecte les appareils tournant sur les systèmes d'exploitation Microsoft Windows. Il a été initialement observé vers la fin décembre 2019 dans le cadre d'une série d'attaques contre des réseaux compromis.

D'ailleurs, le fournisseur en solution de sécurité Sophos lui a consacré un billet dans lequel il a indiqué que le ransomware dispose d'une spécificité de déploiement permettant de s'installer en tant que machine virtuelle sur un système cible.

En avril dernier, le poids lourd portugais de l'énergie EDP (Energias de Portugal) en avait fait les frais : des cybercriminels sont parvenus à accéder à 10 To de données sensibles et une rançon de 1580 bitcoins avait alors été demandée. Jusqu'alors, les opérateurs derrière Ragnar Locker se servaient d'un exploit dans les connexions Windows RDP (Remote Desktop Protocol, un protocole qui permet à un utilisateur de se connecter sur un serveur exécutant Microsoft Terminal Services) afin de compromettre la sécurité réseau et exfiltrer des données. Ils sont parvenus à obtenir des privilèges administrateurs en utilisant des outils et des commandes Powershell et en manipulant les stratégies de groupe, ces fonctions de gestion centralisée de la famille Microsoft Windows qui permettent la gestion des ordinateurs et des utilisateurs dans un environnement Active Directory.

Cette fois-ci, Campari Group, la société italienne évoluant dans le marché des alcools, a été la cible d'une de ses attaques et 2 To de fichiers non chiffrés auraient été volés. Pour récupérer leurs fichiers, les opérateurs derrière Ragnar Locker réclament 15 millions de dollars. Campari Group est une société italienne connue pour ses marques d'alcools populaires, notamment Campari, Frangelico, SKYY vodka, Epsolon, Wild Turkey et Grand Marnier.

L'attaque a été perpétrée le dimanche 1^er novembre 2020 et Campari a publié un communiqué de presse lundi dans lequel ils ont déclaré avoir subi une cyberattaque au cours du week-end, ce qui les a amenés à fermer leurs services informatiques et leur réseau :

« Campari Group informe que, vraisemblablement le 1er novembre 2020, il a fait l'objet d'une attaque de malware (virus informatique), qui a été rapidement identifiée. Le service informatique du Groupe, avec le soutien d'experts en sécurité informatique, a immédiatement pris des mesures pour limiter la propagation des logiciels malveillants dans les données et les systèmes. Par conséquent, la société a mis en place une suspension temporaire des services informatiques, car certains systèmes ont été isolés afin de permettre leur désinfection et leur redémarrage progressif dans des conditions de sécurité pour une restauration rapide des opérations ordinaires ».

Un chercheur en sécurité répondant au pseudonyme Pancak3 a pu consulter la note de demande de rançon et obtenir un échantillon du logiciel malveillant qui montre clairement que c'est bien Ragnar Locker qui a été utilisé dans l'attaque contre le groupe Campari.


Dans la note de demande de rançon, les opérateurs derrière Ragnar Locker affirment avoir volé 2 To de fichiers non chiffrés lors de l'attaque, y compris des relevés bancaires, des documents, des accords contractuels, des e-mails, etc. :

Nous avons BRISÉ votre périmètre de sécurité et avons accès à tous les serveurs du réseau de l'entreprise dans différents pays à travers tous vos bureaux internationaux. Nous avons donc TÉLÉCHARGÉ plus de 2 To de volume total de vos données PRIVÉES SENSIBLES, y compris:

• Fichiers comptables, relevés bancaires, lettres gouvernementales, certificats de licence
• Informations commerciales confidentielles et/ou exclusives, accords de célébrités, Informations personnelles des clients et employés (y compris les numéros de sécurité sociale, adresses, numéros de téléphone, etc.)
• Accords d'entreprise et contrats avec des distributeurs, importateurs, détaillants, accords de non-divulgation
• Nous détenons également votre correspondance privée d'entreprise, vos courriels et vos classeurs, vos présentations marketing, vos rapports d'audit et beaucoup d'autres informations sensibles.

Pour prouver qu'ils ont effectivement volé des données, la note de rançon contient huit URL vers des captures d'écran de certaines des données volées. Ces captures d'écran concernent des documents sensibles, tels que des relevés bancaires, un passeport britannique, les formulaires fiscaux...