Nouvelle victime sur le sol français pour le collectif de hackers criminels Hive. Le groupe Intersport, spécialisé dans la vente d’articles de sport, a été touché par un ransomware. Les pirates revendiquent cette opération depuis le 5 décembre 2022 sur le site darknet. Ils donnaient d’ailleurs un court délai, jusqu’au 5 décembre, à la direction de l’entreprise pour payer la rançon — il est possible que le gang laisse actuellement un peu plus de temps à l’entreprise pour payer, ou que les négociations soient en cours. Le montant n’est pas dévoilé.
Un premier fichier est en ligne, ce qui est un moyen de prouver que les données détenues par les hackers sont sensibles. Numerama a pu consulter le dossier en question : il contient des passeports, des bulletins de paie et des listes d’informations sur des clients. À première vue, la région des Hauts-de-France serait principalement touchée, si l’on regarde les boutiques mentionnées dans les fichiers. Or, la commune de Sainte-Geneviève-des-bois, en Île-de-France, y figure aussi. Cela laisse à penser que d’autres magasins seraient concernés.
1 300 entreprises victimes de Hive au total
L’attaque a eu lieu le 23 novembre, en pleine semaine de Black Friday. « C’est une cyberattaque qui touche un groupement de magasins sur la région Nord. Le problème est assez circonscrit, c’est une infime partie si l’on considère l’ensemble de nos 780 magasins en France », avait indiqué la direction d’Intersport au quotidien La Voix du Nord. Les employés devaient travailler avec des caisses manuelles et tout noter à la main.
Hive est un groupe de hackers très prolifique depuis plus d’un an. Au total, 1 300 entreprises ont été visées par Hive. Le FBI, la police fédérale américaine, avait déclaré que ce célèbre gang a réussi à extorquer plus de 100 millions de dollars — environ 97 millions d’euros — à plus d’un millier d’entreprises depuis juin 2021. En France, le groupe a attaqué la marque de textile Damart ainsi que le groupe Altice, maison mère de SFR et de nombreux médias — BFM, RMC. Des documents confidentiels sur les opérations du géant de la télécommunication avaient fuité.
L’origine des attaquants est difficile à déterminer, mais quelques indices laissent croire qu’ils seraient originaires de Russie. D’abord, plusieurs dossiers mis en ligne avaient été nommés en russe. Ensuite, des méthodes d’attaques auraient été fournies par Conti, un autre groupe russophone aujourd’hui dissous, révèle le média américain Bleeping computer. Hive, en revanche, continue sur sa longue série de cyberattaques.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
