Crytek confirme l’attaque du ransomware Egregor

0

Le développeur et éditeur de jeux Crytek a confirmé que le gang de ransomware Egregor avait pénétré son réseau en Octobre 2020, chiffrant des systèmes et volant des fichiers contenant des informations personnelles de clients divulgués plus tard sur le site de fuite du gang.

La société a pris connaissance de l’attaque et a envoyé des lettres de notification d’attaque aux personnes touchées plus tôt ce mois-ci.

« Nous voulons vous informer que Crytek a été victime d’une attaque de ransomware par des cybercriminels inconnus », a déclaré Crytek dans une lettre envoyée à l’un de leurs clients touchés par l’incident.

« Au cours de cette attaque, certaines données ont été chiffrées et volées sur notre réseau. Nous avons pris des mesures immédiates pour empêcher le chiffrement de nos systèmes, sécuriser davantage notre environnement et lancer une enquête interne et externe sur l’incident.

Crytek a confirmé que les opérateurs d’Egregor ont par la suite divulgué des documents volés lors de l’incident sur leur site de fuite de données.

« En se basant sur notre enquête, les informations comprenaient dans certains cas le prénom et le nom de famille, le titre du poste, le nom de l’entreprise, l’adresse e-mail, l’adresse professionnelle, le numéro de téléphone et le pays », a révélé Crytek.

crytek
Lettre de Crytek

L’impact des violations de données est minimisé

Le développeur du jeu a tenté de rassurer les clients concernés en affirmant que « le site Web lui-même était difficile à identifier [..], de sorte que, selon nous, très peu de personnes en auront pris note ».

Crytek a ajouté que le téléchargement des données divulguées aurait également pris trop de temps, ce qui aurait également probablement représenté un obstacle important qui aurait empêché les gens d’essayer de les récupérer.

Crytek pense également que ceux qui ont tenté de télécharger les données volées ont été découragés par le « risque énorme » de compromettre leurs systèmes avec des logiciels malveillants intégrés dans les documents divulgués.

Bien que ces points soient logiques pour les personnes ayant peu ou pas d’expérience dans l’utilisation des ordinateurs, la plupart des personnes qui voudraient et sauraient comment mettre la main sur ce type de données utiliseraient probablement des téléchargeurs et ouvriraient les fichiers divulgués dans une machine virtuelle.

En outre, les acteurs malveillants téléchargent généralement des fichiers divulgués lors de fuites de données de ransomware pour les vendre ou les partager avec d’autres cybercriminels.

Compte tenu de cela, les tentatives de Crytek pour minimiser la gravité de la violation de données résultant de l’attaque de ransomware d’octobre 2020 ne tiennent pas la route.

« Bien que nous ne soyons pas au courant de l’utilisation abusive d’informations potentiellement affectées, nous fournissons cet avis dans le cadre de nos précautions », a ajouté Crytek.

Comme il avait été signalé en octobre, les systèmes de Crytek ont été touchés par le ransomware Egregor lors d’une attaque confirmée par des sources proches de l’incident.

Bien qu’on ne nous ait pas dit combien de systèmes Crytek ont été cryptés lors de l’attaque, on nous a dit que les fichiers avaient été cryptés et renommés pour inclure l’extension « .CRYTEK ».

Les données volées divulguées par Egregor sur leur site de fuite de données comprenaient :

  • Fichiers liés à WarFace
  • Le jeu MOBA Arena of Fate de Crytek annulé
  • Documents contenant des informations sur leurs opérations de réseau

Parmi les autres entreprises et organisations bien connues dans le monde attaquées par Egregor dans le passé figurent Barnes and Noble, Kmart, Cencosud, Randstad et le système de métro TransLink de Vancouver.

crytek leak
Données Crytek volées

Des affiliés d’Egregor arrêtés en Ukraine

En février 2021, plusieurs membres de l’opération de ransomware Egregor ont été arrêtés en Ukraine à la suite d’une opération conjointe entre les forces de l’ordre françaises et ukrainiennes.

Des agents des forces de l’ordre ont procédé aux arrestations après que les autorités françaises ont pu retracer les paiements de rançons à des personnes situées en Ukraine.

Les individus arrêtés seraient des affiliés d’Egregor dont le travail consistait à pirater les réseaux d’entreprise et à déployer le ransomware.

Egregor a été lancé en septembre 2020, juste après que le gang du ransomware Maze a commencé à mettre fin à ses opérations.

À l’époque, des affiliés du ransomware Maze étaient passées du côté d’Egregor, permettant au nouveau RaaS(Ransomware-as-a-service) de se lancer avec des pirates informatiques expérimentés et qualifiés.

Egregor fonctionne comme un ransomware-as-a-service (RaaS) où les développeurs de ransomwares s’associent à des affiliés qui mènent les attaques, en divisant les paiements de rançon.

Dans le cadre de cet arrangement, l’équipe principale gagne entre 20 et 30 % de toutes les rançons payées, tandis que les affiliés ont empoché les 70 à 80 % restants.

La société de cybersécurité Kivu a déclaré dans un rapport datant du mois de février qu’Egregor comptait 10 à 12 membres principaux et 20 à 25 membres semi-exclusivement contrôlés, et que l’opération avait amassé plus de 200 victimes depuis son lancement en septembre.

Laisser un commentaire