Depuis le 3 janvier, le groupe cybercriminel affirmait détenir moult fichiers appartenant au groupe français. Fichiers qu’il a publiés le 17 janvier, faute de paiement d’une rançon. Mais le butin est bien maigre : un millier de fichiers, principalement de la documentation interne et du code. Beaucoup de bruit pour rien ?
Lundi, le groupe LockBit 2.0 publiait un peu plus d’un millier de fichiers sur son site. Ces quelques centaines de .zip ont été dérobés à Thales, plus exactement à sa filiale Thales Alenia Space, entre le 1er et le 3 janvier dernier, à en croire la date des fichiers les plus récents. Le 3 janvier, sur son site, les cybercriminels lançaient le compte à rebours et menaçaient le groupe de publier ses documents si une rançon n’était pas payée.
Dont acte le 17 janvier, Thales ayant apparemment refusé d’accéder aux exigences des ravisseurs. D’ailleurs, dans sa communication début janvier, le géant de la défense expliquait ne pas avoir reçu de demande de rançon et affirmait d’avoir « aucune preuve factuelle de cette attaque ». Ce qui n’a pas empêché Thales de prendre l’affaire « au sérieux » et de dépêcher une équipe d’experts enquêter sur « la situation ».
Coup de bluff ?
1320 fichiers Zip ont donc été publiés en ce début sur le site vitrine du groupe de ransomware (mais ne sont à ce jour plus disponibles). Lockbit est coutumier de cette pratique : le groupe avait précédemment ciblé Accenture, quoique le butin semblait alors un peu plus important. Ici, il s’agit d’outils internes et de code utilisés par les développeurs de Thales Alenia Space pour ses solutions Space Ops. La co-entreprise, détenue à un tiers par l’Italien Leonardo, a reconnu l’exfiltration de données.
« La plupart des fichiers volés semblent avoir été copiés à partir d’un serveur de dépôt de code (« code repository »), hébergeant des données à faible niveau de sensibilité et qui est extérieur aux principaux systèmes d’information du groupe » explique Thales au Parisien. Le groupe ne se prononce pas publiquement sur la manière dont les attaquants ont obtenu ces fichiers, sinon prendre « contact avec les parties concernées pour discuter et informer chacune d’entre elles d’actions correctives potentielles ». A noter que ni Lockbit 2.0, ni Thales n’évoquent à aucun moment le chiffrement ou la destruction des données.