Nouveau coup de filet judiciaire contre un rançongiciel. Le parquet de Paris et l’office anti-cybercriminalité de la police nationale viennent d’annoncer des premiers résultats prometteurs contre un rançongiciel peu commenté dans la sécurité informatique, « Umbrella Security ».
Cinq suspects ont en effet été entendus au début du mois de juin en Roumanie, dans le cadre d’une enquête ouverte en juillet 2021 en France.
Plus de 50 000 euros en crypto-actifs ont été gelés dans cette procédure. Elle vise les chefs d’infraction d’atteinte à des systèmes de traitement automatisé de données, d’extorsion en bande organisée et d’association de malfaiteurs.
Au moins une trentaine de victimes
A l’époque, une entreprise de la Haute-Garonne avait été ciblée par une attaque informatique attribuée à ce rançongiciel, aussi connu sous les dénominations de Diskstation Security, Quick Security et 7even Security.
Mais selon le quotidien régional La Dépêche du Midi, qui a dévoilé le coup de filet judiciaire, l’hôpital de Tarbes ferait également partie des victimes du programme malveillant. Ce dernier était propagé par l’envoi de campagnes de spam.
L’entreprise de Haute-Garonne n’était en effet pas la seule à avoir été attaquée. Les investigations policières ont permis de compter une trentaine de victimes en France, des particuliers et des petites ou moyennes entreprises. Leur préjudice avoisine le million d’euros.
Un millier de clés
Le nombre de victimes – des faits similaires ont été signalés en Allemagne, Espagne, Italie et en Suède – est donc vraisemblablement bien supérieur. Plus d’un millier de clés de déchiffrement ont en effet été retrouvées par la police, soit à minima plusieurs centaines de victimes. Ces dernières sont invitées à se signaler sur la plateforme de dépôt de plainte en ligne Thésée.
Comme l’expliquait PC Risk, « Umbrella Security » bloquait l’accès aux données de ses victimes en les chiffrant avec une extension en .aes. L’exemple de note de rançon partagée alors mentionnait une demande de rançon assez faible, de 0,011 bitcoin, soit de l’ordre de plusieurs centaines d’euros.
Cette même note de rançon mentionnait également la compromission d’un NAS (Network Attached Storage). Ce n’est sans doute pas un hasard. Selon la police nationale, le programme malveillant ciblait précisément ces instances de sauvegarde qui permettent de stocker des données en local.