Posté le juillet 21, 2021 à 6:56
1 TO DE DONNÉES DE SAUDI ARAMCO MIS EN VENTE SUR LE DARKNET
Un rapport récent révèle que des acteurs malveillants ont mis les données de la compagnie pétrolière saoudienne Aramco sur le darknet pour 5 millions de dollars.
La société a déclaré que la violation des données provenait de contractants tiers, précisant que le piratage n’affecte pas les activités d’Aramco.
Il a également été exclu que l’attaque soit un ransomware, car le groupe de hackers Zerox et la compagnie pétrolière ont tous deux confirmé qu’il ne s’agissait pas d’un incident de ransomware.
1 To de données volées
Les hackers liés à l’incident de piratage ont admis avoir volé les données de l’organisation l’année dernière, et certaines d’entre elles contiennent des données qui remontent à 1993.
Certains des fichiers volés ont été initialement mis en ligne sur le forum darknet le mois dernier pour annoncer la disponibilité de ces données. Les fichiers échantillonnés contiennent des documents exclusifs tels que des informations personnelles identifiables (PII).
La compagnie pétrolière publique basée à Dhahran est l’une des plus grandes entreprises au monde en termes de revenus générés. En 2020, elle a atteint un chiffre d’affaires annuel de 230 milliards de dollars. Elle a également la plus grande production quotidienne de pétrole des compagnies pétrolières et possède la deuxième plus grande réserve de pétrole brut (environ 43 milliards de mètres cubes).
Le rapport de piratage a révélé que les acteurs malveillants ont volé environ 1 To de données à l’entreprise. Bien qu’ils aient proposé l’ensemble des données pour 5 millions de dollars, les hackers se disent prêts à négocier avec des acheteurs sérieux.
Les hackers de ZeroX affirment qu’ils n’ont pas crypté les données, ce qui est courant dans la plupart des attaques de ransomware.
Comme c’est le cas pour d’autres violations, les auteurs de la menace choisissent généralement la deuxième option, qui consiste à vendre leur butin sur un forum de piratage si les victimes de leur piratage refusent de payer une rançon pour les données.
Les hackers de Zerox ont déclaré avoir contacté l’entreprise pour l’informer de la violation, mais ils n’ont pas exigé le paiement d’une rançon.
Les attaquants ont probablement utilisé des exploits zero-day
Le hacker n’a pas fourni beaucoup de détails sur la façon dont les données ont été volées ou sur la technique déployée. Mais d’après leur légère explication, il pourrait s’agir d’un « exploit zero day ».
Le groupe de hackers, qui se nomment ZeroX, a publié l’échantillon contenant le plan et la modification des informations personnelles.
Mais lorsque ZeroX a posté sur le forum, le site de fuite de données .onion a indiqué un compte à rebours de 662 heures. Il montre que les négociations et la vente des données commenceront à la fin du compte à rebours de 28 jours.
Le groupe a déclaré qu’il avait choisi d’utiliser 662 comme une énigme et que celle-ci était destinée à être résolue par l’entreprise. Cependant, la raison principale de ce choix n’est pas claire.
Les hackers ont également déclaré que les 1 To contenaient les données de plus de 14 000 employés, notamment leur nom, leur numéro, leur numéro d’identification, leur carte de séjour, leur adresse électronique et leur photo d’identité.
Outre les informations personnelles du personnel, l’information contient également des détails de contrats, des factures, une liste de clients d’Aramco, des cartes de localisation avec des coordonnées précises, des plans de réseaux, des rapports d’analyse interne, ainsi que des spécifications de projets.
D’après l’échantillon que le gang a publié sur le forum darknet, les informations personnelles (IP) ont été modifiées et l’échantillon de 1 Go coûte 2 000 dollars, comme l’a indiqué le groupe. Ils ont également déclaré que les personnes intéressées devaient payer en utilisant Monero (XRM).
Aramco affirme que la violation n’a pas d’impact sur ses activités
Ce n’est pas la première fois que Saudi Aramco est impliquée dans une violation de données. En 2012, des hackers ont utilisé le logiciel malveillant Shamoon pour paralyser pratiquement tous les systèmes informatiques de l’entreprise. Un incident similaire s’est produit en 2018 lorsqu’une variante du logiciel malveillant Shamoon a été découverte dans certains systèmes de l’entreprise.
D’après les rapports, les hackers de ZeroX sont déjà en train de négocier avec 5 clients intéressés par les données.
Saudi Aramco affirme que les acteurs de la menace n’ont pas directement exploité ses systèmes, mais via une tierce partie. Aramco a également découvert une divulgation de certaines données en possession d’un entrepreneur tiers.
Cependant, Aramco a assuré à ses clients que ses services sont entièrement fonctionnels et que l’incident de violation des données n’entraînera aucune perturbation de ses services.
« Nous confirmons que la divulgation des données n’a aucun impact sur nos opérations », a déclaré la compagnie pétrolière à Bleeping Computer.
