Hensoldt, une multinationale de la défense basée en Allemagne, a confirmé que certains des systèmes de sa filiale britannique ont été compromis lors d’une attaque de ransomware.
La multinationale de la défense développe des solutions de capteurs pour les applications de défense, d’aérospatiale et de sécurité, est cotée à la Bourse de Francfort et a réalisé un chiffre d’affaires de 1,2 milliard d’euros en 2020.
Elle opère aux États-Unis dans le cadre d’un accord spécial qui lui permet de postuler à des contrats gouvernementaux américains classifiés et sensibles.
Ses produits comprennent des réseaux de radars, de l’avionique et des télémètres laser utilisés sur les chars M1 Abrams, diverses plates-formes d’hélicoptères et le LCS (Littoral Combat Ship) par l’armée américaine, l’US Marine Corps et la US National Guard.
Hensoldt annoncé jeudi qu’il équipe les sous-marins germano-norvégiens U212 CD construits par le consortium kta d’équipements optroniques entièrement numériques de nouvelle génération.
Alors que la société n’a pas encore publié de déclaration publique concernant cet incident, le gang de ransomware Lorenz a déjà revendiqué l’attaque.
Mercredi, un porte-parole de Hensholdt a confirmé les affirmations de Lorenz après que EZpublish-france.fr a contacté par e-mail.
« Je peux confirmer qu’un petit nombre d’appareils mobiles de notre filiale britannique ont été touchés », a déclaré à EZpublish-france.fr le responsable des relations publiques de Hensoldt, Lothar Belz.
Cependant, Belz a nié avoir fourni des informations supplémentaires concernant l’incident, affirmant que « pour des raisons évidentes, nous ne divulguons pas plus de détails dans de tels cas ».
Un gang de ransomware dit avoir été payé
Pour sa part, le groupe de ransomware Lorenz affirme avoir volé une quantité non divulguée de fichiers du réseau de Hensholdt lors de l’attaque.
Le gang affirme qu’une rançon a été payée, avec 95% de tous les fichiers volés publiés sur le site Web de fuite de données du ransomware depuis le 8 décembre 2021, lorsque la page de fuite Hensoldt a été créée.
Alors que Lorenz montre que la fuite est « payée », il n’est pas clair si cela signifie que Hensoldt a payé une rançon ou si un autre acteur de la menace a acheté les données.
En effet, le gang de ransomware Lorenz est connu pour vendre des données volées à d’autres acteurs de la menace afin de faire pression sur les victimes pour qu’elles paient des rançons.
Si aucune rançon n’est payée après la fuite de toutes les données en tant qu’archives RAR protégées par mot de passe, Lorenz publiera également le mot de passe pour accéder aux archives de fuite de données afin de rendre les fichiers volés accessibles au public à quiconque télécharge des archives divulguées.
Ce gang de ransomware vendra également l’accès aux réseaux internes des victimes à d’autres acteurs de la menace ainsi que toutes les données volées.
Lorenz a commencé à opérer en avril 2021 et cible depuis des entreprises du monde entier, exigeant des centaines de milliers de dollars de rançons à chacune de leurs victimes.
En juin, la société néerlandaise de cybersécurité Tesorion a publié un décrypteur de ransomware Lorenz gratuit, que les victimes peuvent utiliser pour récupérer certains types de fichiers, notamment des documents Office, des fichiers PDF, des images et des vidéos.