Cyberattaque de Lille : les attaquants exécutent leur menace

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Cyberattaque de Lille : les attaquants exécutent leur menace

Publié le 28 mars 2023 à 12:10 par Jérôme G.

Lire sur mobile

La cyberattaque ayant touché la ville de Lille est désormais revendiquée et les nouvelles ne sont pas bonnes avec une monstrueuse exfiltration de données.

Dans la nuit du 28 février au 1^er mars, la ville de Lille a été la victime d'une intrusion dans son système d'information. Face à l'urgence de la situation, des mesures de confinement ont été prises et certains services fonctionnent en mode dégradé.

Mi-mars, des agents municipaux ont reçu une demande de rançon sur leur messagerie personnelle, sans toutefois une revendication. La municipalité lilloise a par la suite confirmé que des données ont été prélevées dans certains serveurs, y compris des données à caractère personnel, mais sans entrer dans les détails.

Plusieurs semaines après la cyberattaque, un groupe de ransomware sort du bois et publie une annonce via un portail sur le Dark Web (domaine en .onion). Repérée par ZATAZ, cette publication fait actuellement état d'une exfiltration de données et d'une diffusion à hauteur de 10 % pour le moment.

Le groupe de ransomware Royal

Ce sont trois fichiers compressés qui sont mis à disposition. Ils représentent un total de plus de 350 Go. Comme ce sont des fichiers compressés, la somme de données exfiltrées paraît déjà très conséquente, d'autant qu'il ne s'agirait que de 10 %…

Les cybercriminels se présentent sous l'identité du groupe Royal. Il y a quelques incohérences dans leur annonce, avec le nombre d'employés de la ville de Lille et son budget de fonctionnement qui sont bien en dessous de la réalité.

Reste que le groupe de ransomware Royal est à prendre au sérieux. En début de mois, l'Agence de cybersécurité et de sécurité des infrastructures pour les États-Unis a publié un avis de cybersécurité à son sujet.

Des anciens de Conti ?

De l'ordre de 150 victimes sont affichées au compteur du groupe Royal qui est actif sous ce nom depuis au moins septembre 2022. Les demandes pour des rançons vont de 1 million à 11 millions de dollars (en bitcoins).

Une note apparaît après un chiffrement de données (fichiers chiffrés en .royal) et demande aux victimes d'interagir via une URL en .onion. Le groupe Royal pratique l'exfiltration de grandes quantités de données avant de déployer son ransomware et chiffrer les systèmes.

Selon un rapport de Trend Micro, le groupe Royal serait une émanation du groupe Conti et d'un sous-groupe Zeon ultérieurement rebaptisé Royal. A priori basé en Russie, le groupe Conti avait été démantelé en juin 2022.