Ransomware:
Les opérateurs de Revil / Sodinokibi ont brièvement revendiqué le vol d’une très grande quantité de données de ce spécialiste de l’imagerie 3D. Avant de supprimer les traces. Une intrusion aurait pu se produire via un système Citrix NetScaler vulnérable ou un service RDP disponible sur Internet, entre autres.
FARO Technologies est un spécialiste reconnu de la mesure et de l’imagerie 3D. L’année dernière, l’entreprise s’est distinguée notamment par sa collaboration avec AGP (Arts Graphiques et Patrimoine) pour réaliser une opération de numérisation 3D de Notre-Dame de Paris en cas d’urgence.
L’objectif: « en une journée, procéder à un examen 3D précis du bâtiment après incendie pour établir un diagnostic des dégâts ». Auparavant, les outils FARO avaient déjà été utilisés pour numériser de nombreux bâtiments historiques, dont le monastère du Mont-Saint-Michel. Mais la portée de sa technologie va bien au-delà, par exemple, de l’inspection de grandes structures complexes, y compris même pendant la construction, ou de la modélisation de scènes de crime, entre autres.
FARO Technologies est apparu pour la première fois sur le site, les opérateurs du ransomware Revil / Sodinokibi annonçant leurs victimes de la résistance à l’extorsion le 20 mai. Avec une menace: révéler une partie de leur vol, ce qui représente 1,5 To de données. Ce qui a été fait deux jours plus tard.
Dans leur publication originale, les cybercrapules ont revendiqué le vol de « plusieurs téraoctets de données » qui concernaient l’entreprise et ses clients, mais aussi des graphiques et du code source. Surtout, ils ont affirmé qu’ils étaient déjà en pourparlers pour « vendre les données les plus intéressantes » tout en accusant leur victime « d’essayer de cacher le piratage et la fuite de données ».
Le 25 mai, les cybercriminels ont mis à jour leur annonce: « Il n’y aura pas d’autre publication. FARO Technologies a trouvé un acheteur pour vos données. Pas le montant que nous espérions, mais toujours valable. » Très rapidement, toute mention de cette victime disparaîtrait. du site Revil / Sodinokibi Operators, récemment contacté par les rédacteurs, a déclaré n’avoir aucune information à partager sur ce sujet.
De son côté, il ne semble pas que FARO Technologies ait communiqué l’incident, ni à la presse ni à ses investisseurs: au moment de la publication de ces lignes, son site Internet est muet sur le sujet, de même que ses déclarations au policier boursier SEC.
Nous avons contacté le spécialiste de l’imagerie 3D à deux reprises le 27 mai avant d’obtenir un premier contact de son attaché de presse externe. Ce n’est qu’après un échange téléphonique que la réponse officielle de FARO Technologies est tombée le 4 juin: « Nous connaissons cette publication et nous l’étudions ». Cinq jours plus tard, après un premier rappel, rien de plus.
Cette annonce de FARO Technologies s’avère d’autant plus surprenante que les opérateurs Revil / Sodinokibi ne se lancent pas immédiatement sur l’affichage de leurs victimes: ils commencent par laisser la place à des négociations. Ainsi, les cibles des ransomwares ont initialement au moins sept jours pour céder aux demandes de leurs extorqueurs avant de doubler leur prix. Dans certains cas, cette première phase peut même durer deux semaines, selon plusieurs observations.
Ce n’est qu’après avoir considéré que les négociations ont échoué que les cyber-vagues ont commencé à menacer de transmettre les données volées dans le système d’information de leurs victimes – et même récemment de les vendre au plus offrant, par le biais d’enchères tenues à leur propre site Web. Par conséquent, il ne serait pas surprenant que le lancement du rançongiciel chez FARO Technologies ait eu lieu dans la première moitié de mai, ou même plus tôt.
Pendant ce temps, nous avons découvert un service RDP exposé directement sur Internet par une machine qui semble appartenir à FARO Technologies, selon les données de BinaryEdge. Dans de mauvais rapports sur les packages, Troy a déclaré à Mursch que pendant un certain temps, la société avait exposé un système Citrix Netscaler affecté par la célèbre vulnérabilité CVE-2019-19781, connue sous le nom de Shitrix. Il a été découvert le 11 janvier.
Onyphe a également constaté que le système avait été identifié comme vulnérable lors d’un incident survenu le 15 janvier. Et pour préciser que ce système est resté en ligne au moins entre le 8 décembre et le 8 février. Cependant, il n’existe aucun lien établi entre ces observations et les exigences des opérateurs Revil / Sodinokibi. Jusqu’à présent, après une nouvelle augmentation, FARO n’a rien dit de plus sur l’incident.LIEN