Le groupe de ransomware Play a revendiqué l’attaque contre le conseil départemental des Alpes-Maritimes. Une partie des données est déjà en ligne.

Les groupes de ransomware sont nombreux à s’intéresser à la France. Ce 28 novembre 2022, c’est le collectif Play qui revendique l’attaque contre le conseil départemental des Alpes-Maritimes. L’administration avait été victime d’un rançongiciel le 9 novembre dernier, contraignant les services à couper le réseau pour isoler son système informatique.

Dans un communiqué, le conseil département indique que « la teneur même de ces données ainsi que leurs périmètres précis — par définition cryptés — sont toujours en cours d’expertise ». Une partie de la base de données de l’administration a été chiffrée. Les fichiers dérobés sont volumineux, puisque Play a déjà rendu accessible 13 Go de données sur son site et annonce publier tout le reste d’ici à cinq jours si la victime ne paye pas la rançon.

Un premier échantillon est en ligne sur le site du groupe Play. // Source : Numerama
Un premier échantillon est en ligne sur le site du groupe Play. // Source : Numerama

On ne connait pas le montant demandé et la règle établie est de ne pas céder au chantage des malfaiteurs. La revendication a été repérée par Zataz et nous avons pu nous rendre sur le site darknet du groupe. L’activité du collectif Play est irrégulière : quelques attaques ont été répertoriées en Amérique du Sud cet été et une opération contre une entreprise française en octobre.

Play a des liens avec d’autres gangs

Le groupe est suspecté d’être lié à Hive, un autre collectif très prolifique en 2022. Les experts en cyber de Trend Micro ont repéré de nombreuses similarités dans le mode opératoire des deux gangs de hackers criminels. Des similarités avec Conti ont également été constatées. Comme dans de nombreux métiers, le milieu professionnel est assez restreint et les hackers se connaissent souvent entre eux. Certains peuvent faire partie de différents groupes, surtout que, généralement, ces gangs ont pour point commun d’échanger en russe.

Play s’ajoute à la liste des groupes de ransomware ayant visé les institutions françaises avec Lockbit, Hive et Vice Society. Les conseils départementaux de la Seine-et-Marne, de la Seine-Maritime ou encore le Conseil Régional de la Guadeloupe ont aussi été attaqués par des ransomwares. Le chantier de sécurisation et de prévention cyber dans les administrations est colossal, toutes les institutions sont des cibles potentielles.


Construisez avec nous l’avenir de Numerama en répondant à ces questions !