Le groupe M6 touché par un ransomware !

Le groupe M6 a été victime d’une cyberattaque qui semble être un ransomware. Le vecteur d’entrée aurait été la boîte e-mail d’un des collaborateurs, et cette compromission aurait eu lieu… en juillet !

Le groupe M6 s’est exprimé dimanche sur Twitter.

Une fois le poste de travail du collaborateur compromis, le ransonware se serait déplacé sur le réseau compromettant ainsi plusieurs dizaines de postes utilisateurs, et vraisemblablement, d’autres parties du système d’information. Il est intéressant de noter que le ransomware n’a pas immédiatement activé sa charge active (payload) après avoir compromis le premier poste utilisateur, et ce dans le but de se propager au maximum.

Le logiciel malveillant utilisé combinerait le RAT (Remote Access Tool) Nanocore et le ransomware Troldesh aka Shade. L’utilisation de ce dernier était en très forte hausse en début d’année 2019. Il est d’origine Russe et est apparu pour la première fois en 2014. Avast avait également publié un article sur ce ransonware que nous vous invitons à lire en cliquant ici.

Certaines sources indiquent que « les lignes téléphoniques et la messagerie électronique sont inutilisables ». Les outils bureautiques et de gestion seraient également concernés. Cependant, aucune interruption n’a été constatée sur les services télévisuels proposés par le groupe.

L’ANSSI a été sollicitée dans le cadre de la résolution de ce problème.

C. Szwedo