Ransomware : Accenture victime de Lockbit

Le groupe de ransomware Lockbit revendique une attaque contre l’ESN française et menace d’en publier les données. Si la frappe n’a pas eu d’impact sur l’activité d’Accenture, l’attaque aurait pu être menée avec une aide en interne, c’est du moins ce qu’assurent les cybercriminels.

Accenture fait partie de la liste des victimes de Lockbit. Le ransomware, dont l’activité tournait au ralenti depuis le début de l’année, a multiplié les attaques depuis la mi-juillet, devenant l’un des programmes de ce type les plus prolifiques de l’été à en croire la liste que Darktracer tient à jour. Après les transports publics de Nottingham et une bonne dizaine de sociétés australiennes, c’est au tour de l’ESN française d’être frappée par le ransomware.

Le site spécialisé en malwares vx-underground a détecté sur la page de Lockbit 2.0 sur TOR une annonce du groupe cybercriminel revendiquant une attaque dirigée contre l’entreprise française et annonçant la publication de documents d’Accenture. Le groupe a brièvement publié hier à la fin du compte à rebours un dossier contenant 2 384 fichiers, rapidement inaccessibles du fait, probablement, d’un pic de trafic. Lockbit a depuis réinitialisé son compteur : les documents seront à nouveau publiés ce soir à 22h43, heure française.

Surtout, dans le message en baseline du compte à rebours, le groupe écrit : « Ces personnes sont au-delà de la confidentialité et de la sécurité. J'espère vraiment que leurs services sont meilleurs que ce que j'ai vu en tant qu'insider ». Ce terme d’ « insider » n’a pas manqué de faire réagir, de nombreux observateurs y voyant le signe d’une fuite en interne, ou du moins d’une aide reçue par Lockbit d’un salarié actuel ou ancien d’Accenture. Mais rien à ce stade ne permet de confirmer ou d’infirmer cette hypothèse.

« Gagner des millions »

Lockbit est connu pour proposer aux salariés dont le poste de travail est ciblé de « gagner des millions » en aidant le programme malveillant à se propager ou encore en vendant des accès, des comptes admin, etc. aux cybercriminels.

Diverses informations circulent depuis, de sources plus ou moins fiables, selon lesquelles 6 To de fichiers auraient été dérobés, les criminels exigeraient une rançon de 50 millions de dollars, 2500 postes de travail chez Accenture auraient été compromis. L’ESN aurait notifié au moins un de ses partenaires et commencé à prévenir ses clients. On ignore encore si les autorités compétentes sont dans la boucle.

Accenture n’a pas, pour sa part, publiquement communiqué sur le sujet, mais un porte-parole a confirmé l’attaque à BleepingComputer. « Grâce à nos contrôles et protocoles de sécurité, nous avons identifié une activité irrégulière dans l'un de nos environnements. Nous avons immédiatement contenu le problème et isolé les serveurs concernés » explique l’ESN, précisant que l’attaque n’a eu « aucun impact sur les opérations d'Accenture ou sur les systèmes de nos clients ».