Exagrid paie $2.6m aux attaquants conti ransomware

Fournisseur d’appliances de sauvegarde ExaGrid a payé une rançon de 2,6 millions de dollars aux cybercriminels qui ciblaient l’entreprise avec le ransomware Conti.

La rançon a été payée sous la forme de 50,75 bitcoins le 13 mai, selon les informations obtenues par la publication sœur Français de ComputerWeekly.com, LeMagIT.

L’adhésion aux demandes de l’attaquant ransomware a été rendue plus embarrassante lorsque le fournisseur d’appliances de sauvegarde – qui fait un grand jeu de ses forces contre les ransomwares – a accidentellement supprimé l’outil de décryptage et a dû le demander à nouveau.

La soumission à l’attaque ransomware est venue dans le même mois que l’opérateur de pipeline américain Colonial Pipeline payé $4.5m après avoir été frappé par Darkside ransomware et le service de santé irlandais a été ciblé, également par Conti ransomware.

Les négociations, auxquelles LeMagIT avait accès, ont débuté le 4 mai avec une personne titrant « Technicien en chef informatique chez ExaGrid Systems ».

Les cybercriminels sont allés droit au but et ont déclaré: « Comme vous le savez déjà, nous avons infiltré votre réseau et y sommes restés pendant plus d’un mois (assez pour étudier toute votre documentation), crypté vos serveurs de fichiers, serveurs SQL, téléchargé toutes les informations importantes avec un poids total de plus de 800 Go. »

Ils ont ensuite décrit comment ils avaient mis la main sur les données personnelles des clients et des employés, les contrats commerciaux, les formulaires NDA, les données financières, les déclarations de revenus et le code source. La rançon initiale demandée était de 7 480 000 $.

ExaGrid voulait tester le décryptage sur un échantillon, et une photo de l’avant d’une boîte NAS ExaGridEX63000E a été fournie. Les négociations se sont poursuivies et ont duré jusqu’au 13 mai. Tout au long de cette période, les attaquants ont partagé des fichiers avec ExaGrid via Sendspace pour montrer ce à quoi ils avaient pu accéder. Certaines archives ainsi partagées n’avaient pas été supprimées depuis un certain temps après la fin des négociations et pouvaient encore être téléchargées.

Le négociateur du cybercriminels semblait plus expérimenté que d’autres. Après une offre initiale d’ExaGrid de plus de 1 M$, elle a répondu : « Merci pour vos efforts. Il s’agit d’une offre initiale juste et raisonnable. Nous avons maintenant la possibilité de négocier. Nous sommes prêts à vous offrir un rabais de 1 M$. Vos frais seront maintenant de 6 480 000 $.

Contrairement à l’approche musclée d’autres cybercriminels, le négociateur a ajouté: « Nous comprenons que votre travail ici n’est pas facile et nécessite un certain effort pour convaincre les membres de votre conseil d’administration. Mais nous sommes encore loin d’un accord.

Une semaine plus tard, le négociateur d’ExaGrid a porté son offre à 2,2 millions de dollars. Les cybercriminels ont ensuite réduit leur demande à 3 millions de dollars. À ce moment-là, les échanges se sont intensifiés alors que les deux parties cherchaient à parvenir rapidement à un accord. Cela est venu bientôt avec un accord à 2,6 millions de dollars, et l’adresse Bitcoin indiquait que le montant négocié avait été payé. L’outil de décryptage a été fourni via un compte à Mega.nz, où les données volées ont été stockées. Les données et les comptes ont été immédiatement supprimés.

Mais ensuite, deux jours plus tard, le négociateur d’ExaGrid a demandé que l’outil de décryptage soit à nouveau envoyé car « nous l’avons supprimé par accident ». Les cybercriminels l’ont mis à disposition pour téléchargement le lendemain.

L’attaque est particulièrement embarrassante pour Exagrid, qui a annoncé en décembre dernier avoir remporté sept prix de l’industrie, ainsi que le lancement d’une nouvelle solution pour les restaurations suite à des attaques de ransomware.

Sur son site Web, au sujet des ransomwares, ExaGrid déclare: « ExaGridoffre une approche unique pour s’assurer que les attaquants ne peuvent pas compromettre les données de sauvegarde, permettant aux organisations d’être sûres qu’elles peuvent restaurer le stockage principal affecté et éviter de payer des rançons laides. »

ExaGrid a été invité à commenter, mais n’était pas disponible au moment de la publication.