Les cybercriminels de Play ont commencé à mettre leur menace à exécution : après avoir revendiqué l’attaque informatique ayant visé le conseil départemental des Alpes-Maritimes, dans la nuit du 9 au 10 novembre 2022, le groupe de pirates a commencé à diffuser sur son site des données volées à l’organisation.
Une archive de 13,7 gigaoctets contenant des données internes du conseil départemental a ainsi été mise en ligne sur leur site. Dans ces fichiers, on retrouve des éléments liés à la gestion des ressources humaines de plusieurs entités au sein du conseil départemental ainsi que des documents utilisés dans le cadre de projets d’aménagement du territoire dans le département. Le fichier contient aussi, dans une moindre mesure, des données personnelles, notamment des pièces d’identité et passeports.
Sur son site, le groupe ayant revendiqué l’attaque affirme que cette diffusion n’est que la première, et qu’une nouvelle publication interviendra si le conseil départemental des Alpes-Maritimes refuse de rentrer en contact. Ce dernier a de son côté déclaré dans un communiqué, publié le 16 novembre, que « la réaction rapide des agents du département a permis de limiter la portée de l’attaque, tant en matière de contamination des serveurs que d’atteinte aux données ». En d’autres termes, les services du département pensent être parvenus à empêcher le chiffrement d’un grand nombre de services et d’appareils, même si les attaquants ont tout de même réussi à voler des données au cours de l’attaque.
Le département ne mentionne pas de demande de rançon dans ses publications concernant l’attaque, mais le mode opératoire du groupe Play s’apparente à celui utilisé par les groupes ayant recours au rançongiciel : le logiciel malveillant qui a été utilisé ici est conçu pour chiffrer les données et le groupe s’est doté d’un site sur TOR (The Onion Router, un outil qui permet d’anonymiser sa navigation sur Internet) lui permettant de diffuser les données volées.
Un groupe méconnu
Play est un nouveau venu dans le secteur des groupes cybercriminels spécialisés dans le recours au rançongiciel et son fonctionnement n’a pas fait l’objet de beaucoup d’analyses de la part des entreprises spécialisées dans la cybersécurité. Ses premières victimes identifiées datent du mois de juin et le site utilisé par le groupe pour diffuser les données dérobées à ses victimes n’a été mis en place qu’au mois de novembre. Comme le remarque la société éditrice de logiciels de cybersécurité Trend Micro, ce groupe se concentrait jusqu’ici principalement sur des cibles basées en Amérique latine, mais revendique maintenant deux organisations françaises parmi ses victimes : en plus du département des Alpes-Maritimes, une entreprise de services numériques aurait été touchée.
Plusieurs conseils départementaux français ont récemment fait les frais d’attaques informatiques aux conséquences similaires, les forçant à prendre des mesures pour assurer le fonctionnement de leurs services : la Seine-et-Marne et la Seine-Maritime au mois d’octobre, l’Indre-et-Loire en juillet.