On connait le nom du responsable de la cyberattaque contre la mairie de Lille. Le groupe de cybercriminels de Royal Ransomware a revendiqué l’attaque ce 27 mars sur leur site Darknet, publiant 350 Go des données dérobées dans la foulée. Les pirates indiquent sur leur site darknet qu’il ne s’agit que de 10 % des fichiers détenus, ce qui voudrait dire qu’ils auraient en main plus de 3,5 To de dossiers appartenant à la mairie de Lille. L’administration expliquait d’abord ne pas être certaine du volume de données potentiellement dérobées. Des fonctionnaires ont été contactés par les cybercriminels alors que l’enquête est encore en cours.
Les hackers de Royal Ransomware n’ont pas précisé la somme demandée à Lille. Selon l’agence américaine de cybersécurité, le groupe demande généralement entre 1 million de dollars à 11 millions de dollars en bitcoins. Il est rare que les institutions publiques payent les rançons demandées par les pirates. Les fichiers seront probablement revendus sur les forums de pirates.
Plus d’une centaine de victimes
Royal Ransomware est l’un des nouveaux groupes émergeant sur la scène du cybercrime. Le collectif a débarqué en fin d’année 2022 et a très rapidement enchainé les attaques pour se hisser parmi les collectifs de ransomware les plus prolifiques. Les États-Unis sont leur région privilégiée, avec une préférence pour les petites et moyennes entreprises, note un rapport de la société Trend Micro. L’agence américaine de cybersécurité s’intéresse également à ce groupe, précisant que plus d’une centaine de victimes ont déjà été recensés. Le chiffre est probablement plus élevé, puisque de nombreuses entreprises préfèrent dissimuler les cyberattaques.
Le média américain Bleeping Computer a pu interroger l’une des victimes pour comprendre leur manière d’abord leur cible. Royal Ransomware se fait passer pour des sous-traitants, des traiteurs ou des fournisseurs de logiciels indiquant qu’une commande a bien été passée par l’organisation visée. Un numéro de téléphone est précisé dans les messages pour les appeler afin d’annuler la prétendue livraison ou abonnement. On ne sait pas si la même technique a été utilisée pour attaquer la mairie de Lille. Royal Ransomware a déjà attaqué quelques grands groupes, comme l’écurie de F1 Silverstone, mais la ville de Lille est la première administration majeure ciblée en Europe.
Contrairement à Lockbit ou ALPHV, les deux collectifs de cybercriminels majeurs en 2023, Royal Ransomware ne loue son logiciel à personne. C’est un groupe « classique », si l’on peut dire, composé d’une équipe de plusieurs dizaines de membres. Ces derniers seraient russophones et parmi eux, on compterait d’anciens cadres du collectif Conti, selon un rapport de Trellix. Ce gang a été détruit après des querelles internes sur la Guerre entre la Russie et l’Ukraine. La mairie de Lille doit désormais surveiller l’importance des données diffusées et prévenir les potentielles personnes touchées par cette fuite.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
