La liste des victimes du ransomware Maze continue de s’allonger : le 30 janvier dernier, le logiciel malveillant s’est attaqué à la filiale construction du groupe français Bouygues. Dans cet article, nous faisons le point sur ce que l’on sait de ce nouveau ransomware qui ne se contente pas de chiffrer les données de ses victimes, mais les publie aussi sur le web.
Maze s’attaque à Bouygues
Le rançongiciel Maze a bloqué 237 terminaux du système informatique de Bouygues Construction, provoquant une cyber crise chez le géant français. Les pirates à l’origine de l’attaque ont également volé puis bloqué des données sensibles. Plutôt bavards, ils ont confié à Damien Bancal, le fondateur du site Zataz, être en possession de 200 Go de fichiers, contenant notamment des noms de domaines, des passeports et des rapports concernant plus de 60 pays. Les hackers réclament une rançon de 10 millions de dollars pour rétablir l’accès aux données et éviter leur diffusion.
Bouygues a décidé de faire preuve de transparence. Le groupe a annoncé la fuite de données le lendemain de l’attaque, et a immédiatement porté plainte. Il travaille aujourd’hui avec les autorités pour identifier l’origine de l’infection, et protéger ses clients et partenaires. Il faudra tout de même réaliser une sauvegarde vos données.
Ce que l’on sait de Maze
Maze bloque l’accès aux terminaux et chiffre les données de ses victimes jusqu’à ce que celles-ci paient la rançon demandée. Toutefois, il ne fonctionne pas comme tous les rançongiciels : avant de bloquer l’accès aux données, il les télécharge, ce qui lui donne un moyen de pression supplémentaire. L’autre particularité de Maze, c’est que c’est un ransomware « libre », qui peut être utilisé par tous types de hackers, et pas seulement par ses créateurs. Aujourd’hui, on ne sait toujours pas qui est derrière Maze. En attendant d’identifier les hackers, l’Agence nationale de la sécurité des systèmes d’information française leur a donné le nom de « TA2101 ».
Historique de Maze
La première attaque de Maze s’est produite en mars 2019. Depuis, le ransomware a ciblé de nombreuses entreprises et institutions. Il a infecté plusieurs entreprises du secteur médical américain, ainsi que des cabinets d’avocats du Dakota du Sud.
En décembre, il a extorqué le fabricant de câbles Southwire, bloquant l’accès à plus de 800 machines et dérobant 120 Go de données, contre lesquelles il a demandé 6 millions de dollars en bitcoins. Southwire a refusé de payer, et une partie de ses données se sont retrouvées sur un site créé par les hackers pour humilier leurs victimes. En janvier, les attaques se sont accélérées, avec entre 45 et 180 cibles, dont la ville de Pensacola, Allied Universal et l’entreprise canadienne Bird Construction. Bouygues Construction n’est donc qu’une victime de plus dans une longue série d’offensives : la vigilance est plus que jamais de mise, car les hackers ne vont sans doute pas s’arrêter en si bon chemin.
Pour en savoir plus sur les ransomwares, n’hésitez pas à contacter IPE, votre société informatique à Paris.