Dans un communiqué publié mardi matin sur le site du groupe LDLC et aujourd’hui retiré, le spécialiste de la vente de matériel et de pièces de PC faisait état d’une cyberattaque ayant touché ses systèmes informatiques. La société adoptait dans ce communiqué initial un ton rassurant, expliquant que l’attaque informatique n’avait eu aucun impact sur son activité commerciale, mais que certaines données personnelles avaient pu être consultées par les attaquants. Le groupe précisait néanmoins que les données clients n’étaient pas concernées et que ses équipes de sécurité travaillaient à une « analyse approfondie » afin de renforcer les mesures de protection mises en œuvre.
Dans une note sur leur site, le groupe de ransomware Ragnar Locker a revendiqué l’attaque et a communiqué plusieurs documents et captures d’écran provenant du système de LDLC. Sur les captures d’écran, on peut voir plusieurs images provenant de l’interface Vsphere de LDLC, un logiciel VMWare utilisé pour administrer un grand nombre de machines virtuelles.
Une autre capture d’écran montre une interface de messagerie interne, laissant entendre que les attaquants sont parvenus à obtenir l’accès à un compte utilisé par un des employés travaillant sur la réponse à incident après la découverte de l’attaque. Les messages échangés laissent penser que la capture d’écran a été prise dans le week-end précédant la diffusion du communiqué de LDLC.
Outre les captures d’écran, le groupe Ragnar diffuse également deux archives, de respectivement 8,5go et 21go, que le groupe affirme avoir volés sur le système informatique de sa victime. Le groupe explique avoir « notifié » le groupe LDLC de l’attaque et du vol de données, mais n’avoir reçu aucune réponse de sa part, ce qui les pousse à commencer la diffusion des données. Suite à ces publications, LDLC a de son côté retiré le communiqué initialement publié sur son site concernant la cyberattaque.
Ce que l’on comprend entre les lignes, c’est que LDLC refuse de payer la rançon réclamée par le groupe d’attaquants. Ragnar Locker est un groupe connu pour lancer des attaques au ransomware, qui se doublent souvent d’un chantage à la diffusion de données volées via un site dédié. Ragnar Locker est actif depuis au moins avril 2020. Le groupe avait déjà notamment visé l’avionneur Dassault Falcon Jet, ou encore l’éditeur de jeu vidéo Capcom.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));