L’attaque initiée par des affiliés du Ransomware-as-a-Service LockBit aurait en fait touché Solutions&Co, une agence de développement économique de la région. Le parquet de Paris s’est saisi de l’affaire.
Selon des informations de l’AFP relayées par Le Figaro, la section de lutte contre la cybercriminalité du parquet de Paris s’est saisie de l’enquête concernant une fuite de documents du Conseil Régional des Pays de la Loire. Le 11 juillet, une agence de développement économique de la région, Solutions&Co, a été la cible d’une cyberattaque menée par des affiliés de LockBit. Des documents administratifs ont été dérobés à la collectivité et des échantillons ont été publiés sur la plateforme du groupe en guise de preuve. Les pirates ont donné jusqu’au 4 août prochain à la région pour payer une rançon.
Stéphane Meuric, directeur général de Solutions&Co, a déclaré dans un communiqué envoyé à l’AFP : « Les systèmes d'information ont été mis à l'arrêt et une cellule d'experts (CSIRT, Agence nationale de la sécurité des systèmes d'information-ANSSI, prestataires) s'est mobilisée. » Il a ajouté qu’« un redémarrage progressif est en cours ». Une source de l’Agence de presse a également affirmé que la cyberattaque avait été menée par LockBit, et que l’unité nationale Cyber de la gendarmerie nationale a été saisie.
L’increvable hydre LockBit
Le Conseil Régional des Pays de la Loire et Solutions&Co s’ajoutent à la longue liste de victimes de LockBit, la plus déployée dans le monde, grâce à son mode de fonctionnement de « ransomware-as-a-service ». Cela signifie qu’il concède sous licence ses logiciels à des affiliés qui mènent ensuite les attaques, causant des milliards de dollars de dommages et extorquant des dizaines de millions de dollars à leurs victimes.
En février dernier, une action de police et de justice réunissant les forces de l’ordre de dix pays avait fortement perturbé les opérations du groupe en prenant le contrôle de sa plateforme et en démantelant 34 serveurs. Les autorités ont également eu accès à certaines données personnelles d'affiliés. Mais moins d’une semaine après, le gang avait relancé ses opérations et listé de nouvelles victimes après avoir remis en route ses serveurs et ouvert un nouveau site vitrine.