Cyberattaque contre le 06 : Play publie des données volées

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Cyberattaque contre le 06 : Play publie des données volées

Publié le 30 novembre 2022 à 15:30 par Jérôme G.

Lire sur mobile

Le nouveau groupe de ransomware Play a trouvé le moyen de faire parler de lui, après une cyberattaque qui a frappé la France le mois dernier.

En France, plusieurs conseils départementaux ont récemment fait état de cyberattaques. C'est également le cas du conseil départemental des Alpes-Maritimes. La cyberattaque visant le département 06 a eu lieu dans la nuit du 9 au 10 novembre.

Les mesures habituelles ont été prises en coupant les réseaux informatiques afin d'isoler le système d'information et éviter une propagation de la cyberattaque, tout en tentant de protéger les données. Dans sa communication, le département a indiqué qu'une plainte a été déposée.

" Dès les premières heures suivant cette cyberattaque, une équipe de crise composée des experts de la direction des services informatiques du Département, d'Orange Cyber Défense en collaboration avec l'Agence Nationale de la Sécurité des Systèmes d'Information s'est attelée à stopper la propagation du virus. "

Le 16 novembre, le conseil départemental des Alpes-Maritimes écrivait qu'une réaction rapide a permis de " limiter la portée de l'attaque, tant en matière de contamination des serveurs que d'atteinte aux données. "

Un nouveau groupe de ransomware

La cyberattaque a été revendiquée par le groupe Play (ou PlayCrypt). Selon le hacker éthique Clément Domingo, ce nouveau groupe de cybercriminels - les premières campagnes d'attaques remontent à mi-juillet 2022 - a commencé à publier en début de semaine une partie des données exfiltrées. Une archive de plus de 13 Go sur un total de 290 Go en sa possession.

[?CyberALert] Le nouveau groupe de cybercriminels Play Ransomware a finalement mis sa menace a exécution... Ce lundi 28 novembre, une première partie des données du Conseil départemental des Alpes-Maritimes a été publiée ! Cela représente 13Go sur les 290 exfiltré. pic.twitter.com/DgHBhDpnjU
— S. A. X. X. (@_SaxX_) November 28, 2022

Cette publication suppose qu'il y a eu une demande de rançon et un ultimatum. Manifestement, le département n'a pas cédé, alors que la pression s'accentue pour une publication qui serait de plus grande ampleur d'ici la fin de cette semaine.

Les fichiers comprennent notamment des informations de ressources humaines, mais également des données personnelles avec des cartes d'identité et des passeports par exemple. C'est évidemment inquiétant.

En quête de notoriété ?

Étrangement, le groupe Play a mis à disposition les données volées via un lien du service de cloud Mega. Généralement, c'est plus discret en se cantonnant au Dark Web. Cela peut laisser supposer que ce groupe de ransomware cherche à se faire connaître, y compris pour recruter d'éventuels affiliés.

Selon une des analyses de l'étudiant Chuong Dong de Georgia Tech, le groupe Play ajoute .play aux fichiers chiffrés et intègre le mot PLAY dans sa demande de rançon, ainsi qu'une adresse email dédiée pour communiquer avec ses victimes.

" Malgré sa simplicité, le ransomware Play est fortement obfusqué par de nombreuses astuces uniques qui n'ont pas été utilisées par les ransomware auparavant. "