Si la cyberattaque était déjà une mauvaise nouvelle pour la mairie de Lille, Les choses ne s'arrangent pas. Cette attaque a été revendiquée par le groupe de rançongiciels dénommé Royal et qui était classé au troisième rang des organisations criminelles les plus recherchés au dernier trimestre de 2022. Pas plus tard que ce lundi, les cybercriminels ont ajouté la mairie à leur tableau de chasse sur leur site.
Selon un décompte réalisé par le site spécialisé Zataz, ils auraient partagé dans la foulée des archives du poids total de 352 Go.
Une fuite qui inquiète au plus haut points la Mairie
Si la fuite de donnée récente parait déjà énorme, on apprend que cela ne correspond qu'au dixième des informations recueillies par les cybercriminels. Il n'en fallait pas plus pour donner des sueurs froides aux dirigeants lillois. Si pour le moment, le montant de la rançon réclamée n'a pas été divulgué par la Mairie, il y a peu de chance qu'elle paye.
Les informations seront probablement vendues au plus offrant ou rendu public.
Sachant que la mairie n'a aucune idée des informations dérobée, on ignore encore les conséquences de cet acte.
Rappelons que depuis cette attaque il y a un mois, la situation informatique de la mairie est au plus mal. Toutes les messageries des 4500 agents et élus sont suspendus ainsi que le système de billetterie informatisée.
Un groupe récent certes, mais avec un CV bien garni
Royal Ransomware est l'un des groupes de cybercriminels émergeant sur la scène du crime. Les premières traces de leurs activités remonte à fin 2022 où ils avaient dans un très bref délai multiplié les attaques pour se hisser sur le podium des collectifs de ransomware les plus dangereux et prolifiques.
Leurs cibles préférées sont les PME basées sur le sol américain comme le rapporte la société Trend Micro qui scrute les activités du groupe.
On leur dénombre déjà une centaine de victimes, même si on se doute que le nombre de victimes doivent être plus nombreux, car les entreprises dissimulent pour la plupart les cyberattaques.
Grâce à une enquête du média américain Bleeping Computer, on en sait un peu plus de leur mode opératoire. Le groupe se fait passer pour un sous-traitant, des fournisseurs de logiciels pour des traiteurs et précise à la PME qu'elle a passé commande auprès d'eux. Pour plus de crédibilité, il laisse un numéro de téléphone aux victimes pour l'annulation de l'abonnement ou de la commande.
On ne sait pas si le groupe a utilisé le même stratagème contre la mairie de Lille, mais il s'agit là la première administration majeure visée par le groupe. Jusque-là, seuls quelques grands groupes comme l'écurie de Formule 1 Silverstone avait été attaqué.