DoppelPaymer a ciblé une société liée à SpaceX et Tesla

Le ransomware DoppelPaymer, qui peut à la fois chiffrer des fichiers et exfiltrer des données, a ciblé Visser Precision, une entreprise qui fournit des pièces personnalisées aux géants de l’aérospatiale comme Lockheed Martin, SpaceX et Boeing.

Visser Precision, basé dans le Colorado, a déclaré avoir été ciblé par un «cyber-incident». Il semblerait qu’un pirate informatique ait accédé aux données de l’entreprise. Un chercheur en sécurité informatique a découvert que certains des fichiers volés de l’entreprise avaient été divulgués en ligne.

Visser fabrique des pièces dites de «précision» pour plusieurs secteurs, notamment l’automobile et l’aéronautique, avec des clients très important qui exigent généralement des mesures de sécurité élevées en raison de la nature sensible et compétitive de leur travail.

doppelpaymer

Brett Callow, analyste des menaces au sein de la société Emsisoft, a découvert les documents (une série d’accords de non-divulgation conclus par Visser avec des sociétés telles que SpaceX, Tesla, Honeywell, General Dynamics et d’autres) sur un site Web de pirates informatiques et a commencé à alerter les médias, selon les informations publiées par Forbes et TechCrunch.

Les pirates informatiques ont également tweeté sur un compte utilisant le nom «DoppelPaymer» que d’autres fichiers allaient être divulgués, alertant les chercheurs que les hackers ont probablement utilisé le rançongiciel DoppelPaymer pour mener cette attaque.

DoppelPaymer est un nouveau type de ransomware qui non seulement empêche aux entreprises d’accéder à leurs propres systèmes informatiques en chiffrant les fichiers (comme les autres ransomware) mais peut également exfiltrer les données de l’entreprise et les utiliser comme garantie.

Un rapport publié en février par BleepingComputer a révélé que DoppelPaymer avait changé de tactique pour inclure non seulement le vol des données d’une victime, mais aussi menacer les cibles de divulguer ou de vendre leurs données si la victime ne payait pas la rançon.

Cette nouvelle démonstration de sophistication des ransomwares rend les choses encore plus difficile pour les entreprises, qui sont généralement invitées à ne pas payer dans un tel scénario, a déclaré un expert en sécurité.

«L’évolution des ransomwares, du simple chiffrage de données pour les rendre inutilisables jusqu’à la menace de divulgation, est insidieuse», a déclaré Mike Jordan, vice-président de la recherche chez Shared Assessments. “La décision de payer ou non une extorsion de ransomwares implique toujours un calcul financier dans lequel vous déterminez si payer est moins cher que de récupérer les données par vous-même.”

doppelpaymer

Les nouvelles méthodes utilisées par les logiciels malveillants comme DoppelPaymer et Maze accentuent les enjeux pour les victimes de ransomwares et augmentent le risque de perte financière si des données sensibles ou classifiées sont révélées par des cybercriminels, a-t-il déclaré.

“Si les données sont réglementées, telles que les informations personnelles, des amendes sont imposées”, a déclaré Jordan. «Et lorsque la victime est un fournisseur tiers d’autres sociétés, la perte potentielle de revenus et de clients qui perdent confiance en leur capacité à gérer les menaces de sécurité informatique est également une variable particulièrement coûteuse.»

En effet, certaines sociétés qui figurent sur la liste des documents révélés, telles que Lockheed Martin, Boeing, Honeywell et General Dynamics, ont également des contrats de défense avec le gouvernement fédéral américain, ce qui signifie qu’elles traitent également des informations hautement classifiées. La menace de la divulgation de ce type de données soulève définitivement des enjeux pour Visser lorsqu’il s’agit de payer ou non les pirates informatiques.

Le ciblage des contrats avec les clients était également une tactique intelligente de la part des cybercriminels, car cela a le potentiel de causer des dommages à long terme non seulement à Visser mais aussi aux clients concernés, a observé Jordan.

Selon nos informations, seuls les responsables de Lockheed Martin ont publiquement reconnu à ce jour que cette attaque s’est vraiment produite.

Un site internet pour DoppelPaymer

Les pirates derrière DoppelPaymer ont aussi créer un site internet pour divulguer les informations qu’ils dérobent.

Bretagne Télécom récemment attaqué par DoppelPaymer

En janvier, DoppelPaymer a été utilisé pour voler et chiffrer des données de Bretagne Télécom. Avec à la clé une demande de rançon s’élevant à 35 bitcoins (équivalents à près de 278 000 euros aujourd’hui). Une somme que Nicolas Boittin, le PDG, a refusé de payer, avant de parvenir à récupérer la majorité des données volées. Déjà, en 2019, diverses attaques avaient été menées avec DoppelPaymer contre le gouvernement chilien et Pemex, la compagnie pétrolière nationale du Mexique, Allied Universal).

Certaines données relatives à Bretagne Télécom, à Pemex et à d’autres entreprises sont aussi disponibles sur le site créé par DoppelPaymer, aux côtés de celles issues de l’attaque contre Visser Precision.  Brett Callow craint que les données de nombreuses autres entreprises pourraient également être en danger – document à l’appui.

Si cet article vous a plu, jetez un œil à notre article précédent.