Au mois de mars, la ville de Charleville-Mézières annonçait avoir été victime d’une attaque au rançongiciel. Les pirates du groupe DoppelPaymer ont revendiqué l’attaque hier, diffusant au passage des données volées.
On n’en savait alors pas beaucoup plus, mais hier, le groupe Doppelpaymer a revendiqué l’attaque sur son site de fuite de données. Le groupe a publié une nouvelle page au nom de Charleville-Mézières contenant plusieurs fichiers apparemment volés dans le système informatique de la ville. La page se contente de lister une dizaine de fichiers et ne recense pas les machines chiffrées. C’est pourtant l’habitude des opérateurs de Doppelpaymer, qui indiquent généralement le nombre de machines chiffrées par leur logiciel malveillant ainsi que des informations basiques (noms et système d’exploitation) sur les machines infectées.
Cette manifestation assez tardive des opérateurs de Doppelpaymer s’explique peut-être par une négociation compliquée. Comme l’indiquait le DSI de la ville, les sauvegardes avaient été « corrompues », ce qui laisse penser que les victimes auraient pu être tentés de negocier avec les operateurs du logiciel malveillant afin de récuperer les clés de déchiffrement. DoppelPaymer utilise son site de fuite de données pour faire pression sur les victimes, en les menaçant de diffuser les données volées. Nous avons contacté l’agglomération Ardenne Métropole pour les interroger à ce sujet, et l’article sera mis à jour si nous obtenons une réponse.Le groupe Doppelpaymer est un groupe de cybercriminels connus, spécialisés dans l’utilisation de ransomware. En début d’année, ils s’étaient notamment attaqués à l’Afpa ainsi qu’à l’opérateur Bretagne Télécom. L’Anssi avait également abordé l’historique de ce groupe a travers ses rapports : le rapport portant sur Dridex se penche ainsi sur la genèse de Doppelpaymer, dont le logiciel malveillant est apparenté à celui de Dridex.
Source : Charleville-Mézières : le groupe DoppelPaymer diffuse les données volées