Catégories
informatique Ransomware Sécurité

Des clients professionnels Orange victime d’un ransomware

Orange regrette le potentiel d’accès indésirable aux données d’une vingtaine de clients professionnels. Il s’agit du ransomware Nefilim.
Orange a donc décidé de se déclarer victime de ransomware.

Selon toute vraisemblance, ce correctif est Nefilim. Ses premières traces remontent à fin février. C’est un dérivé de JSWorm, lancé début 2019 et renommé depuis Nemty.

Le groupe télécom indique que l’attaque a affecté son département Orange Business Services dans la nuit du 4 au 5 juillet. Il aurait révélé les données d’une vingtaine de clients de l’offre « pack informatique ». Composé de « postes de travail virtualisés pour PME » basés sur les technologies Microsoft.

En chiffres absolus, la communication ne mentionne pas Nefilim – juste un « cryptovirus ». Mais il ne fait aucun doute que l’on considère la liste officielle des victimes (disponible sur un site du réseau Tor). Les opérateurs de ransomware ont ajouté Orange le 15 juillet. Et en parallèle avec une archive de 339 Mo, qui contient entre autres des fichiers du constructeur aéronautique ATR Aircraft.

Nefilim, vraisemblablement distribué sur des connexions RDP mal sécurisées, utilise le chiffrement d’enveloppe. Il crypte les fichiers avec une clé AES-128, même cryptée avec une clé RSA-2048 intégrée au code du ransomware.
Deux éléments principaux le distinguent de Nemty. D’une part, le paiement s’effectue par e-mail et non via un portail Tor. En revanche, il n’a jamais été commercialisé selon le modèle « as a service » (c’est-à-dire ouvert au public).LIEN