En début de semaine, le groupe de ransomware Hive a fait figurer l'enseigne de distribution d'articles de sport Intersport sur sa liste de victimes. Via son portail sur le Dark Web et un site en .onion caché sur le réseau Tor, Hive a publié une archive zip comme preuve du succès d'une cyberattaque.
Selon Le Monde, les données publiées comprennent des bulletins de paie d'un magasin Intersport dans le nord de la France, des photocopies de passeports de salariés, des déclarations d'accident du travail, une liste d'employés ou d'anciens employés de divers magasins du groupe, avec parfois des numéros de sécurité sociale.
Pour la cyberattaque, les cybercriminels évoquent un chiffrement des données qui a eu lieu le 23 novembre dernier et qui a donc été doublé d'une exfiltration de données. Le 24 novembre, La Voix du Nord avait rapporté que les magasins Intersport du Nord et du Pas-de-Calais étaient touchés par une cyberattaque.
Une cyberattaque en période de Black Friday
" Chers clients, nous sommes confrontés actuellement à une cyberattaque des serveurs Intersport qui nous empêche l'accès à nos caisses, au service de carte de fidélité et au service de carte cadeau ", pouvait-on lire dans un magasin affecté de l'enseigne.
En période de Black Friday, la cyberattaque avait nécessité un recours à des caisses manuelles et des prises de notes à la main. Intersport avait confirmé une cyberattaque touchant un groupement de magasins essentiellement dans les Hauts-de-France. " Le problème est assez circonscrit, c'est une infime partie si l'on considère l'ensemble de nos 780 magasins en France. "
À voir si l'ampleur de la cyberattaque n'était pas plus grande en réalité et si d'autres données sensibles vont être publiées par le groupe Hive. Sur leur portail, les cybercriminels ne font pas directement allusion à la demande de rançon.
Un groupe de ransomware déjà connu
Le mois dernier, le ransomware Hive a fait l'objet d'un bulletin d'alerte de l'Agence de cybersécurité et de sécurité des infrastructures des États-Unis. Elle indique notamment que les attaquants n'hésitent pas à réinfecter des victimes qui ont restauré leurs systèmes informatiques sans payer une rançon.
Le groupe de ransomware Hive pourrait être lié à Conti qui a été démantelé et serait un groupe basé en Russie. Le modèle économique est celui d'un ransomware en tant que service avec des affiliés qui mènent des attaques.
D'après le FBI, Hive aurait visé plus de 1 300 entreprises dans le monde entre juin 2021 et novembre 2022. Le groupe de ransomware aurait reçu de l'ordre de 100 millions de dollars avec les paiements de rançons.
