Ransomwares : ces victimes françaises du début d’automne

Des horaires de travailleurs saisonniers, des déclarations de sinistres automobiles, le bilan orthoptique d’un employé vu en consultation pour déficit attentionnel… Autant de données publiées ces dernières semaines sur des « sites vitrines » de ransomwares. Toutes comprennent des informations à caractère personnel… et proviennent d’entreprises françaises. Aucune de celles que nous avons sollicitées ce vendredi matin n’a pour le moment donné suite. À l’exception de Sides (« Société industrielle pour le développement de la sécurité »).

« Pas de commentaire », nous explique cette PME de Loire-Atlantique spécialiste des véhicules de lutte contre l’incendie. Fondée en 1951, elle affiche un chiffre d’affaires d’environ 50 M€. Pour qui souhaiterait d’autres informations comptables, il y a de quoi depuis une quinzaine de jours sur le site de LockBit.

Ce ransomware semble aussi avoir touché Fugybat. La PME alsacienne du BTP figure en tout cas sur la liste des victimes revendiquées. Avec, depuis début octobre, un certain nombre de données : analyses de chantiers, planning de réunions, déclaration de revenus d’un collaborateur…

LockBit semble aussi avoir frappé la commune de Saint-Affrique (Aveyron). Celle-ci a publiquement fait état d’une « cyber attaque [sic] de grande ampleur » survenue le week-end des 23 et 24 octobre. Sans toutefois évoquer un ransomware.

Sur le site de LockBit, l’entrée au nom de Saint-Affrique affiche un compte à rebours jusqu’au 1^er novembre 2021. Avec la menace de publier, à cette échéance, toutes les données disponibles.

IDLINE a quant à lui jusqu’au 31 octobre. L’entreprise est positionnée sur l’externalisation SI. Elle fait partie du groupe de services informatiques NVL. Celui-ci réunit aussi les marques Ivelem (progiciels de gestion), Novenci (cloud/sécurité), Ozanges (agence web/e-commerce) et Vaelia (formations, certifications…). Il revendique 30 M€ de C. A.
La gêne était perceptible chez notre interlocuteur, qui a promis de « transmettre à [sa] hiérarchie ».

Grief n’a pas touché que Villepinte

Ces dernières semaines, les revendications de victimes françaises se sont multipliées chez un autre ransomware. En l’occurrence, Grief, dont la ville de Villepinte avait fait les frais plus tôt cette année.

– Fauveder
Le transporteur breton (85 M€ de chiffre d’affaires) est apparu sur le site de Grief le 20 octobre. La publication de ses données est « en cours ». On trouve pour le moment des documents d’assurance ou encore des contrats de service. Et deux captures d’écran, notamment d’un tableau de charges.

– Carwest (marque de la société Trujas)
Ce concessionnaire multimarques en Île-de-France est apparu le 10 octobre sur le site de Grief. Bilan : environ 1 Go de données publiées, dont des informations sur la base clients.

– C&C France (Champagne and Châteaux)
Le chiffre d’affaires de cette PME marnaise dont la marque phare est Champagne Thiénot avoisine les 80 M€.

Pas de champagne chez La Martiniquaise, mais des vins pétillants. Et des spiritueux tels que le whisky Label 5, le rhum Saint James, la vodka Poliakov ou le pastis Duval. La PME établie dans le Val-de-Marne revendique des revenus annuels de l’ordre du milliard d’euros. Elle fait partie des dernières victimes ajoutées sur le site de BlackMatter. L’incident a été reconnu publiquement, deux semaines environ après qu’il s’est produit (dans la nuit du 6 au 7 septembre derniers). Ont filtré, entre autres, des documents bancaires, des contrats et des accords commerciaux.

À consulter sur le même thème :

« Ransomwares : les payeurs dans le viseur du législateur américain » (6 octobre 2021)

« Solware : une com’ ouverte face au ransomware Conti » (19 septembre)

« Ransomwares : portrait-robot d’une entreprise cible » (7 septembre)

« LockFile : ce ransomware au chiffrement discret » (31 août)

« Affaire Kaseya : analyse d’un bis repetita du ransomware » (29 juillet)

Photo d’illustration © Lwzphoto – Adobe Stock