SafePay Gang indique que 3,5 To de données volées seront publiées si Ingram ne capitule pas.
Le gang de ransomware de SafePay lui a donné le distributeur Ingram Micro jusqu’à vendredi pour payer ou il publiera 3,5 To de ce qu’il prétend être les données volées de l’entreprise.
La menace est apparue cette semaine, répertoriant l’entreprise sur un compte à rebours sur le site de fuite de données du gang, selon Luke Connolly, un analyste du canadien sur la menace de renseignement chez Emsisoft.
Comme nous l’avons signalé plus tôt ce mois-ci, l’attaque de ransomware qui a commencé vers le 3 juillet a déclenché une panne de plusieurs jours au distributeur international.
Ingram Micro a été invité à commenter cette évolution. Cependant, aucune réponse n’a été reçue au moment de la presse. Dans sa dernière déclaration sur l’attaque, Ingram Micro Holdings a déclaré le 9 juillet qu’elle était désormais opérationnelle dans tous les pays et régions où elle faisait des affaires.
SafePay est seul
Selon Connolly d’Emsisoft, SafePay répertorie actuellement 265 victimes sur son site de fuite de données Web Dark. C’est un grand nombre pour moins d’un an de fonctionnement, a-t-il déclaré dans un e-mail. Le gang a été identifié en septembre 2024.
SafePay a utilisé des ransomwares de lockbit dans le passé, mais toute autre relation avec le gang Lockbit n’est pas claire, a-t-il déclaré.
Son site comporte une vantardise selon laquelle le gang n’est pas une opération de ransomware en tant que service, ce qui signifie qu’il n’a pas d’affiliés pour identifier ou compromettre initialement les réseaux informatiques.
« Alors que certains groupes de ransomwares recherchent de la publicité », a déclaré Connolly, « SafePay semble préférer un profil plus bas, peut-être en raison d’une activité réussie d’application de la loi pour identifier les individus derrière des gangs prolifiques de rançon. »
C’est peut-être l’une des raisons pour lesquelles il n’utilise pas les affiliés, a-t-il ajouté.
Selon un récent rapport de NCC Group sur Cyber Incidents au deuxième trimestre de cette année, SafePay a été le quatrième plus grand joueur de ransomware au cours de la période de trois mois, derrière Qilin, Akira et Play. Mais en regardant May seul, il a fait 70 allégations d’attaque, ce qui en a fait le groupe de menaces le plus actif pour le mois.
Parmi ses victimes connues, a déclaré le groupe NCC, figurait Microlise, une entreprise de technologies logistiques qui a vu l’exfiltration de 1,2 To de données de l’entreprise et le chiffrement de ses machines virtuelles.
Les attaques de ransomware augmentent
Dans un rapport sur les ransomwares publiés cette semaine, des chercheurs de Zscaler ThreatLabz ont déclaré que le nombre d’organisations énumérées sur tous les sites de fuite de ransomware avait augmenté de 70% au cours de la période de 12 mois se terminant en avril.
Un nombre croissant d’opérateurs de ransomwares abandonnent le chiffrement des données en faveur de l’extorsion de données, il a noté. Par exemple, Hunters International a déclaré en juin qu’il fermait les opérations des ransomwares pour se concentrer uniquement sur l’extorsion.
Malgré certains succès des agences internationales d’application de la loi contre les gangs de ransomware, les chercheurs du ZSCaler ont identifié 34 familles de ransomwares nouvellement actives pendant la période d’analyse, ce qui porte le nombre total suivi à 425 depuis le début de ses recherches. L’un des plus récents gangs s’appelle des fuites mondiales, qui seraient nés de Hunters International.
Parmi les conclusions du rapport Zscaler
• Hunters International (anciennement appelé Hive avant qu’il ne soit paralysé par le FBI) a considérablement augmenté ses prétendus données totales volées d’une année sur l’autre à 122 To, contre 37,7 To. La médiane a réclamé la perte de données par victime a également augmenté à environ 359 Go de 300 Go.
• DragonForce a fait le plus haut pourcentage de saut dans le volume d’exfiltration réclamé total, à 20,3 To de 4,2 To
• Les anges noirs ont eu l’impact médian le plus élevé par victime de 5 To. Cela suit l’accent continu du groupe sur les grandes cibles de grande valeur supérieure à moins d’incidents globaux, selon le rapport.
« Presque toutes ces vulnérabilités sont facilement exploitées car ce sont des applications orientées Internet qui peuvent être découvertes via des techniques de balayage de base », a indiqué le rapport. «Les objectifs clés incluent les VPN, les systèmes de sauvegarde, les hyperviseurs, les outils d’accès à distance et les applications de transfert de fichiers – les technologies qui sont omniprésentes entre les organisations et les opérations essentielles.»
Quant à savoir si les entreprises devraient payer des rançon pour remettre l’accès à leurs données, les gouvernements exhortent les victimes à ne pas céder, tout en reconnaissant que la sensibilité des données volées exposées sera un facteur de décisions. La direction devrait également comprendre que promesse les escrocs pour détruire les données volées si elles sont payées ne peuvent pas toujours être fiables.
Néanmoins, en avril, nous avons signalé que, selon des recherches de Rubrik Zero Labs, 86% des organisations interrogées ont admis avoir payé des demandes de rançon à la suite d’une cyberattaque au cours des 12 derniers mois.
