Capgemini a été visé par une attaque par ransomware. Des fichiers essentiels ont été chiffrés et volés par un mystérieux cybercriminel. Des mois après les faits, une enquête est venue lever le voile sur l’identité du hacker.
« Début octobre, nos équipes ont détecté très vite cette tentative isolée d’attaque sur un serveur de test et y ont fait échec immédiatement. Aucune suite n’a été donnée à la demande de rançon et aucune donnée n’a été exfiltrée. L’ex salarié à l’origine de cette attaque avortée a été identifié très rapidement et licencié. Malgré l’absence d’impact sur nos activités, Capgemini a déposé une plainte pénale courant octobre dans l’objectif d’alerter les autorités sur un profil qui paraissait dangereux. Le temps écoulé depuis relève des opérations menées dans le cadre de l’instruction judiciaire de ce dossier ».
En octobre dernier, Capgemini, une entreprise française spécialisée dans les services de conseil, de technologie et d’ingénierie numérique, a été victime d’un ransomware. Comme le rapportent nos confrères du Parisien, le malware a chiffré des informations sensibles stockées sur les serveurs du groupe. Les données concernaient le travail de la firme pour l’un de ses clients.
Knight, le ransomware à l’origine de la cyberattaque
Pour récupérer l’accès à ces informations, Capgemini était invité à verser une rançon. Dans un message adressé à l’entreprise, le mystérieux cybercriminel exige de percevoir 5 000 dollars en Bitcoin. En cas de refus, le pirate menace de revendre toutes les données exfiltrées. Il s’agit donc d’une attaque de double extorsion. En plus de chiffrer les données, les pirate dérobent les informations et menacent de les publier sur des marchés noirs dédiés aux cybercriminels sur le dark web.
L’attaque a été orchestrée à l’aide d’un ransomware bien connu, baptisé Knight. Apparu l’été 2023 comme une évolution du virus Cyclops, Knight est proposé par le biais d’un abonnement ransomware-as-a-service (RAAS). En clair, des cybercriminels en herbe peuvent se servir du malware en réglant un abonnement. C’est pourquoi Capgemini était persuadé que le cybercriminel à l’origine de l’attaque était un affilié membre du réseau Knight. Les indices laissaient même penser qu’il s’agissait d’un hacker provenant de Russie.
Quoi qu’il en soit, Capgemini n’a pas accepté de suivre les ordres des attaquants. La firme française indique avoir rapidement « fait échec à cette tentative isolée d’attaque ». Aucune donnée n’a pu être volée. Peu après, le géant de l’informatique a déposé une plainte. Et c’est à ce moment que l’affaire prend une tournure inattendue.
L’ennemi vient de l’intérieur
Les enquêteurs de la brigade de lutte contre la cybercriminalité de la préfecture de Police sont parvenus à remonter jusqu’à l’identité du hacker en l’espace de quelques mois. La tentative d’extorsion n’a pas été mise sur pied par un obscur criminel russe… mais par un employé de Capgemini. Salarié de l’entreprise depuis fin 2021, le jeune homme de 26 ans occupait le poste de « consultant technique ».
D’après l’enquête menée par la police, l’ingénieur, qui travaillait sur un programme de navigation par satellite pour Capgemini, a déniché le malware Knight sur la toile. En se servant d’un ransomware déjà connu, il espérait induire son employeur et les forces de police en erreur. Le pirate a été interpellé à son domicile à Toulouse en mai 2024. Soupçonné d’extorsion en bande organisée, il est toujours en détention, tandis que l’enquête se poursuit.
Ce n’est pas la première fois qu’une entreprise est victime d’un de ses employés. Dans la plupart des cas, le salarié se contente de voler des données personnelles ou d’aider des pirates à exfiltrer des informations sensibles. Il est plutôt rare qu’un employé se fasse passer pour un spécialiste de l’extorsion.
source:01net