L’attaque contre Duvel Moortgat revendiquée par deux bandes différentes
Deux gangs différents menacent de divulguer les données volées chez la brasserie Duvel Moortgat. Les brasseries du groupe ont été temporairement fermées la semaine dernière en raison d’une attaque.
Il y a environ une semaine, une cyberattaque a paralysé la production de la brasserie Duvel Moortgat située à Breendonk. La production a repris quelques jours plus tard, mais le groupe pourrait avoir été agressé une seconde fois au cours de cette période. Voilà ce qui ressort des affirmations des gangs au ransomware mêmes. Sur son site de divulgation, le premier gang, Stormous, a déclaré le lendemain de l’attaque déjà qu’il avait volé 88 Go de données à Duvel. Cinq jours plus tard, le nom de la brasserie Duvel Moortgat est également apparu sur le site de BlackBasta. Or ce gang prétend avoir mis la main sur un téraoctet de données, soit dix fois plus.
Deux attaques possibles
Il est actuellement malaisé de savoir si la brasserie a été attaquée à plusieurs reprises ou si elle a été piratée par différents types de logiciels abusant de la même faille. ‘Ce qu’on observe parfois, c’est qu’une entreprise décide de redémarrer avec des sauvegardes après une attaque’, explique Simen Van der Perre, Strategic Advisor chez Orange Cyberdefense. ‘Mais il y a alors le risque que les brèches ne soient pas comblées. Il arrive que des noms d’utilisateur et des mots de passe aient déjà été volés, et qu’un gang ou ce qu’on appelle un affiliate puisse à nouveau s’introduire par effraction.’
Après la première attaque, Duvel Moortgat a désactivé ses serveurs, selon sa porte-parole Ellen Aerts: ‘Le service IT a été immédiatement informé de l’attaque. Les serveurs ont été stoppés, et la production a été interrompue dans toutes les brasseries belges du groupe pour des raisons de sécurité.’ Quelques jours plus tard, la production pouvait reprendre.
Lien américain
La brasserie Duvel Moortgat est un groupe brassicole qui, outre Duvel, exploite également la brasserie De Koninck à Anvers, la brasserie d’Achouffe à Lachouffe et la brasserie Liefmans à Audenarde. Mais le groupe possède également une branche américaine: Boulevard Brewing. D’après les informations de BlackBasta, il semble que ce soit surtout la brasserie américaine qui ait été victime du piratage, au cours duquel 1 téraoctet de données a été volé. Le fichier BlackBasta contiendrait, entre autres, des passeports américains, ainsi que des données financières de ‘Duvel USA’.
Stormous est probablement une bande au ransomware russe utilisant le rançongiciel GhostLocker, alors que BlackBasta est un autre gang russe qui exploite un service Ransomware-as-a-Service. Il est souvent lié à l’ancien groupe Conti. Duvel avait déclaré la semaine dernière qu’elle enquêtait sur l’attaque. La rédaction a donc pris contact avec la brasserie pour en savoir plus.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici