Une cyberattaque cible Matisa : le groupe de hackers Grief frappe à nouveau en Suisse
Peu après le comparateur en ligne Comparis, c'est au tour d'une autre entreprise suisse d'être la cible d'un rançongiciel du groupe de hackers qui se fait appeler Grief. Les malfaiteurs ont réussi à pénétrer dans le système de Matisa, une entreprise de construction de voies ferrées en Suisse occidentale.
Toute personne se rendant actuellement sur le site web de l'entreprise de construction de voies ferrées Matisa Matériel Industriel S.A., sise à Crissier VD, est accueillie par un message d'information suite à une cyberattaque. L'entreprise déclare qu'elle a été victime d'une attaque de type rançongiciel le 20 juillet 2021. Une partie des systèmes d'information ont été isolés du réseau informatique par mesure de précaution. L'entreprise regrette vivement la gêne occasionnée.
Matisa se retrouve aujourd'hui dans la même situation que le service de comparaison suisse Comparis après l'attaque par rançongiciel le 7 juillet par le même groupe. Derrière ces attaques se cache un groupe appelé Grief, qui suit toujours le même schéma et utilise des tactiques de chantage agressives. Pour faire simple, soit vous payez la rançon, soit vous subissez les conséquences de l'attaque.
Le groupe hackers n'est actif que depuis ce printemps et semble non seulement compromettre les systèmes des victimes avec un rançongiciel, mais chiffre aussi les données récupérées. Les pirates font également une sauvegarde de tout ce qui leur tombe sous la main. Ils passent ensuite à l'action, comme il l'ont fait savoir sur le darknet :
Maintenant, c'est nous qui faisons les règles du jeu, au diable les réductions, les négociations et la perte de temps. Payez ou subissez les conséquences. Telle est notre devise.
En clair, ils n'ont pas l'intention de perdre du temps en discussions. Si la victime ne paie pas la rançon rapidement, les données chiffrées ne pourront plus être déchiffrées. L'étape suivante, et plus lourde de conséquences encore, intervient au plus tard une semaine après avec la publication des données volées.
Quiconque visite le de Grief sur le Darknet y trouvera une liste détaillée des victimes et attaques du groupe. Les opérations en cours et les attaques terminées sont également répertoriées dans une liste pour un aperçu :
Comme on peut le voir sur la capture d'écran, Matisa est la troisième et dernière victime. Juste avant, la deuxième plus grande ville de Grèce et un hôtel de Londres ont également été touchés. Le statut « in progress » (en cours) indique que les tentatives d'extorsion ne sont pas encore terminées.
La liste actuelle avec les attaques passées compte 25 entrées. Curieusement, on n'y retrouve pas Comparis. Peut-être que quelqu'un au sein du groupe n'a pas bien fait ses devoirs ou que d'autres forces étaient à l'œuvre pour cette attaque.
En cliquant sur la page détaillée concernant Matisa, on trouve l'URL du site piraté de l'entreprise et un court texte d'information sur l'entreprise, qui mentionne le nombre d'employés et le chiffre d'affaires. On y trouve également des exemples des données volées. Notamment, deux captures d'écran montrant une liste de contrôle et une feuille de calendrier Excel interne. Enfin, il y a un fichier téléchargeable de 773 kilobytes appelé « Audit Schedule 2021.zip ».
On ne sait pas si Matisa a payé ou paiera une rançon. Cependant, ce n'est pas conseillé. Mais, à en croire les hackers, les victimes auraient intérêt à le faire. C'est ce que tente d'expliquer la bannière suivante, placée bien en vue sur leur site du Darknet :
Le baiser quotidien de la muse stimule ma créativité. Si elle m’oublie, j’essaie de retrouver ma créativité en rêvant pour faire en sorte que mes rêves dévorent ma vie afin que la vie ne dévore mes rêves.