Détaillant FatFace paie une rançon de 2 millions de dollars à Conti cybercriminels

Détaillant de mode FatFace a payé une rançon de 2 millions de dollars à la gang Ransomware Conti suite à une cyberattaque réussie sur ses systèmes qui a eu lieu en Janvier 2021, Computer Weekly a appris.

Les opérateurs ransomware avait initialement exigé une rançon de 8 millions de dollars, environ 213 bitcoin au taux en vigueur, mais ont été discutés avec succès au cours d’un long processus de négociation, dont les détails ont été partagés avec Computer Weekly après avoir été découvert par notre titre sœur LeMagIT.

Au cours des discussions, le négociateur du détaillant à succès Covid a déclaré au représentant de Conti que depuis la fermeture de ses magasins de briques et de mortier, il ne faisait que 25 % de ses revenus habituels de son exploitation de commerce électronique, de sorte que payer une rançon de 8 millions de dollars signifierait la fin de l’entreprise. Conti l’a rejeté au motif que la police d’assurance cybernétique de FatFace, détenue avec la spécialiste Beazley Furlonge, couvre l’extorsion à hauteur de 7,5 millions de livres sterling – soit beaucoup plus de 8 millions de dollars.

En fin de compte, un facteur important de la réduction a été la suppression apparente du réseau de zones de stockage (SAN) de FatFace d’un certain nombre de machines virtuelles (MACHINES) et de données provenant d’applications commerciales primaires, y compris ses point de vente électronique (système Epos), rapports SAP Business Intelligence, application de merchandising, systèmes de gestion d’entrepôt, cluster serveur SQL et hôtes Citrix, dont la récupération causerait d’autres dommages. Le représentant de Conti a nié toute responsabilité à cet égard, et il n’est pas clair, d’après les registres de négociation, comment cela s’est produit.

---

Journaux de négociation Conti/FatFace

---

Le gang Conti a déclaré aux négociateurs de FatFace que son équipe rouge – notez l’utilisation d’une terminologie de recherche légitime standard – est entrée dans le réseau de l’entreprise par le biais d’une attaque de phishing le 10 janvier. À partir de là, l’équipe a pu obtenir des droits administratifs généraux et a commencé à se déplacer latéralement à travers le réseau, identifiant les installations de cybersécurité du détaillant, les serveurs de sauvegarde Veeam et le stockage Agile. L’attaque ransomware elle-même a été exécuté le 17 Janvier et a vu plus de 200 Go de données exfiltrées.

À la fin de la négociation, le gang Conti a conseillé aux équipes informatiques de FatFace de mettre en œuvre le filtrage des courriels, de procéder à des tests d’hameçonnage et de pénétration des employés, de revoir leur politique de mot de passe active directory, d’investir dans une meilleure technologie de détection et de réponse des points de terminaison (EDR) – le gang recommande apparemment cylance ou VMware Carbon Black pour cela – mieux protéger le réseau interne et isoler les systèmes critiques, et mettre en œuvre le stockage hors ligne et la sauvegarde sur bande.

Un porte-parole du détaillant a déclaré: « FatFace a malheureusement fait l’objet d’une attaque ransomware qui a causé des dommages importants à notre infrastructure.

« Grâce à un effort monumental de l’équipe FatFace, aux côtés d’experts externes en sécurité et en droit, FatFace a pu rapidement contenir l’incident, rétablir les opérations commerciales, puis entreprendre le processus d’examen et de catégorisation des données impliquées – une tâche importante qui a pris beaucoup de temps.

« Nous avons notifié et travaillons avec le Bureau du commissaire à l’information, les autorités policières (via la fraude d’action) et le Centre national de cybersécurité à l’égard de l’incident », a déclaré le porte-parole

« Nos équipes ont travaillé sans relâche pour minimiser les perturbations pour nos clients et collègues de grande valeur, et nous tenons à les remercier pour leur soutien pendant cette période difficile. Nous avons pris diverses mesures pour protéger nos systèmes contre toute réapparaence future.

« Les détails de l’attaque et les mesures prises font partie d’une enquête criminelle, donc à ce stade, nous ne sommes pas en mesure de commenter davantage. Nous reconnaissons que les attaques ransomware sont un problème auquel de plus en plus d’organisations sont confrontés dans le paysage actuel des menaces », ont-ils ajouté.

Divulgation de violation

Dans un e-mail partagé par un destinataire avec des journalistes, initialement Groupe des médias de sécurité de l’information Qui a été le premier à signaler la violation, FatFace a déclaré aux clients qu’il avait déterminé que certaines informations sur les clients, y compris les noms, les adresses postales et e-mail, et les données limitées de la carte de crédit, avaient été compromises dans l’attaque. Elle offre aux clients concernés un abonnement de 12 mois au service de vol d’identité d’Experian.

« Les clients qui avaient des renseignements personnels, y compris des données partielles sur les cartes de paiement (qui ne peuvent être utilisées pour acheter quoi que ce soit frauduleusement sur la carte, de sorte que les clients ne sont pas tenus d’annuler une carte), ont été avisés le cas échéant. Ils auront reçu un e-mail de notre part, marqué privé et confidentiel en raison de la nature de la communication, qui est destiné à la personne concernée. Les clients qui n’ont past reçu un e-mail ne sont pas tenus de prendre des mesures spécifiques en réponse à l’incident pour le moment », a déclaré le porte-parole de FatFace.

« La responsabilité que nous avons envers nos clients et collègues est notre plus haute priorité et nous continuons d’investir dans des mesures de sécurité afin d’atténuer l’éventail croissant de risques auxquels sont confrontées les entreprises. Nous fonctions maintenant comme d’habitude et FatFace reste un endroit sûr pour magasiner en ligne, ou en magasin lorsque les magasins rouvrent », a ajouté l’entreprise.

Un porte-parole de l’OIC a confirmé une enquête en direct sur l’incident. « Fatface nous a fait prendre conscience d’un incident et nous faisons des enquêtes, dit-il. « Les gens ont le droit de s’attendre à ce que les organisations traitent leurs renseignements personnels de manière sûre et responsable.

« Lorsqu’un incident de données se produit, nous attendons d’une organisation qu’elle examine s’il convient de communiquer avec les personnes touchées et qu’elle examine s’il existe des mesures qui peuvent être prises pour les protéger contre tout effet indésirable potentiel », a déclaré l’OIC.

Conti: un descendant ryuk évasif

Successeur du ransomware Ryuk, Conti est une menace mondiale en direct qui a frappé plusieurs organisations ces derniers mois, principalement en Europe occidentale et en Amérique du Nord, avec au moins 10 victimes connues au Royaume-Uni qui ont vu leurs données publiées sur le site de fuite du gang.

La majorité des victimes connues se trouvent dans les secteurs de la vente au détail, de la fabrication et de la construction, selon les chercheurs de Sophos.

Le ransomware arrive le plus souvent par le biais de vulnérabilités logicielles ou matérielles divulguées, l’exploitation du protocole de bureau à distance (RDP) ou le phishing, comme ce fut le cas avec FatFace. Il est connu pour être très évasif, déployant des outils personnalisés complexes et de nouvelles tactiques, techniques et procédures (TTPs) pour l’obscurcir, et rendre plus difficile, mais pas impossible, pour les équipes de recherche d’obtenir des échantillons pour l’étude.

Selon Coveware, les opérateurs de Conti ont tendance à rechercher soigneusement leurs cibles et à réduire leurs demandes de rançon en conséquence – cependant, le paiement moyen de rançon effectué en février 2021 est d’un peu plus de 740 000 $. Les temps de récupération sont généralement légèrement moins élevés qu’avec les autres ransomware, et les victimes qui ont payé ont actuellement un dossier de succès de 100% dans le décryptage de leurs données. L’outil décrypteur est, semble-t-il, simple et facile à utiliser.

Comme avec beaucoup d’autres ransomware, les opérateurs de Conti agissent d’une certaine manière comme s’ils étaient en cours d’exécution d’un professionnel, service légitime de test de sécurité. Cela peut être vu clairement dans les journaux de chat, qui dans certaines parties se lisent comme un journal de soutien technique standard, et dans lequel le représentant de Conti à un moment donné rassure le négociateur de FatFace qu’il n’y a rien à gagner à forcer le détaillant à la faillite, et que le gang apprécie sa réputation.