En fin de semaine dernière, l'opérateur virtuel de télécommunications La Poste Mobile - détenu à 51 % par le groupe La Poste et 49 % par l'opérateur SFR - a indiqué avoir été la cible d'une attaque par ransomware.
Le site et l'espace client de La Poste Mobile sont pour le moment toujours inaccessibles. " Nos premières analyses établissent que nos serveurs essentiels au fonctionnement de votre ligne mobile ont bien été protégés. En revanche, il est possible que des fichiers présents dans des ordinateurs de salariés de La Poste Mobile aient été affectés ", peut-on lire.
La Poste Mobile invite ses près de 2 millions de clients à la vigilance face à des tentatives de phishing ou d'usurpation d'identité. L'attaque par ransomware aurait débuté le 4 juillet et a été revendiquée par le groupe LockBit.
RaaS et Bug Bounty pour LockBit
Vendredi, LockBit avait ajouté La Poste Mobile à sa liste de victimes. Proposée via un site en .onion caché sur le réseau Tor, cette dernière est régulièrement mise à jour et s'accompagne d'un ultimatum pour le paiement d'une rançon. À défaut, le groupe LockBit affirme qu'il rendra publiques toutes les données exfiltrées. Pour La Poste Mobile, l'ultimatum est arrivée à échéance…
LockBit opère en tant que Ransomware-as-a-Service (RaaS) avec donc des affiliés qui mènent des attaques. Avec le double effet de chiffrement et d'exfiltration des données, ce ransomware est en train de s'imposer comme l'un des plus prolifiques en nombre de victimes, et ainsi en passe de dépasser Conti.
Il y a seulement une quinzaine de jours, le groupe LockBit a introduit une version 3.0 de ses outils et a en outre annoncé un programme de bug bounty. Une première en la matière avec des primes pour récompenser les hackers (plutôt black hat forcément) qui aident à l'amélioration du fonctionnement du ransomware.