Rançongiciels : la cyberattaque de 36 musées français n’a visé que leurs boutiques en ligne

Des « sources concordantes » affirment à Valéry Rieß-Marchive, rédacteur en chef de LeMagIT et journaliste expert en rançongiciels, qu'un nouveau groupe de cybercriminels intitulé Brain Cipher serait impliqué dans la cyberattaque conduite contre la Réunion des musées nationaux-Grand Palais la semaine passée.

Brain Cipher utiliserait un rançongiciel dérivé de LockBit 3.0, « qui a échappé à la franchise en septembre 2022 », précise LeMagIT. La vitrine de Brain Cipher était apparue début juillet, avec une première revendication visant le gouvernement indonésien, à qui Brain Cipher réclamait 8 millions de dollars suite à une cyberattaque conduite contre le centre de calcul national du pays ayant affecté « plus de 200 agences gouvernementales ».

D'après Vectra, une plateforme de cybersécurité, Brain Cipher exploite des campagnes de phishing pour inciter les destinataires à télécharger et à exécuter des fichiers malveillants, voler des cookies de session web et des informations d'identification provenant de navigateurs afin de poursuivre l'infiltration du réseau. Brain Cipher se livrerait aussi à « une double extorsion en exfiltrant des données sensibles et en menaçant de les rendre publiques si la rançon n'est pas payée ».

Au total, 36 musées français auraient été affectés, via leurs boutiques gérées par le Grand Palais RMN : « Cela ne concerne que notre réseau interne de boutiques, et même pas les autres activités de la RMN-Grand Palais. Nous avons immédiatement débranché tout ce qui était vital et fait appel à la cellule spéciale de l’État qui prend en charge ce type de problème », expliquait aux Echos Didier Fusillier, président de l’établissement public.

« Aucune donnée volée à la victime n’a été rendue publique, laissant ouverte la possibilité que le groupe ne pratique pas systématiquement l’exfiltration et la divulgation de données. Ou peut-être seulement pas encore », tempère cela dit LeMagIT.