Le géant de la vente au détail de produits électroniques MediaMarkt a subi un ransomware Hive avec une demande de rançon initiale de 240 millions de dollars, provoquant la fermeture des systèmes informatiques et l’interruption des opérations de stockage aux Pays-Bas et en Allemagne.
MediaMarkt est le plus grand détaillant d’électronique grand public d’Europe, avec plus de 1 000 magasins dans 13 pays. MediaMarkt emploie environ 53 000 employés et réalise un chiffre d’affaires total de 20,8 milliards d’euros.
Une attaque de ransomware Hive
MediaMarkt a subi une attaque de ransomware tard dimanche soir jusqu’à lundi matin qui a chiffré les serveurs et les postes de travail et a conduit à l’arrêt des systèmes informatiques pour empêcher la propagation de l’attaque.
EZpublish-france.fr a appris que l’attaque avait touché de nombreux magasins de détail à travers l’Europe, principalement ceux des Pays-Bas.
Alors que les ventes en ligne continuent de fonctionner comme prévu, les caisses enregistreuses ne peuvent pas accepter les cartes de crédit ou imprimer les reçus dans les magasins concernés. La panne des systèmes empêche également les retours en raison de l’impossibilité de rechercher les achats précédents.
Les médias locaux rapports que les communications internes de MediaMarkt indiquent aux employés d’éviter les systèmes cryptés et de déconnecter les caisses enregistreuses du réseau.
Des captures d’écran publiées sur Twitter de communications internes présumées indiquent que 3 100 serveurs ont été affectés par cette attaque. Cependant, EZpublish-france.fr n’a pas été en mesure de corroborer ces déclarations pour le moment.
#MediaMarkt / #Saturne gerade scheinbar à ganz DE und NL von #Ransomware fidéliser.
Alle Kassen encore, nichts läuft, sieht nicht gut aus pic.twitter.com/OR4stCaTT6– Hozan Murad (@HozanMurad) 8 novembre 2021
EZpublish-france.fr a confirmé que l’opération Hive Ransomware est à l’origine de l’attaque et a initialement exigé une demande de rançon énorme, mais irréaliste, de 240 millions de dollars pour recevoir un décrypteur pour les fichiers cryptés.
Les gangs de ransomware exigent généralement des rançons importantes au début pour laisser une marge de négociation et reçoivent généralement une fraction de la demande initiale. Cependant, lors de l’attaque contre MediaMarkt, on a dit à EZpublish-france.fr qu’il était presque automatiquement réduit à un montant beaucoup plus bas.
Bien qu’il ne soit pas clair si des données non cryptées ont été volées dans le cadre de l’attaque, le ransomware Hive est connu pour voler des fichiers et les publier sur leur site de fuite de données « HiveLeaks » si une rançon n’est pas payée.
Lorsque nous avons contacté MediaMarkt plus tôt dans la journée au sujet de l’attaque, nous avons reçu la déclaration suivante :
Le MediaMarktSaturn Retail Group et ses organisations nationales sont devenus la cible d’une cyberattaque. L’entreprise a immédiatement informé les autorités compétentes et travaille à toute vitesse pour identifier les systèmes concernés et réparer les dommages causés le plus rapidement possible. Dans les papeteries, l’accès à certains services peut actuellement être limité.
MediaMarktSaturn continue d’être disponible pour ses clients via tous les canaux de vente et travaille intensément pour s’assurer que tous les services seront à nouveau disponibles sans restriction dès que possible.
La société fournira des informations sur les développements ultérieurs sur le sujet. – MediaMarkt.
Qui est le ransomware Hive ?
Le ransomware Hive est une opération relativement nouvelle lancée en juin 2021 qui est connue pour violer les organisations par le biais de campagnes de phishing contenant des logiciels malveillants.
Une fois qu’ils ont accès à un réseau, les acteurs de la menace se propageront latéralement à travers un réseau tout en volant des fichiers non cryptés à utiliser dans des demandes d’extorsion.
Lorsqu’ils obtiennent un accès administrateur sur un contrôleur de domaine Windows, ils déploient leur ransomware sur l’ensemble du réseau pour chiffrer tous les appareils.
Le gang de ransomware est connu pour rechercher et supprimer toutes les sauvegardes pour les empêcher d’être utilisées par la victime pour récupérer ses données.
Hive a également créé des variantes utilisées pour chiffrer les serveurs Linux et FreeBSD, couramment utilisés pour héberger des machines virtuelles.
Contrairement à certaines opérations de ransomware qui ne chiffreront pas les établissements de santé, les maisons de soins infirmiers, les agences gouvernementales et d’autres services essentiels, le ransomware Hive ne semble pas se soucier de qui il cible.
En août, cela a été montré lorsque le ransomware Hive a attaqué le Memorial Health System à but non lucratif, qui a forcé le personnel à travailler avec des cartes papier et a perturbé les chirurgies programmées.
Mise à jour 11/8/21 12:01 PM EST: Ajout d’une déclaration de MediaMarkt.
Mise à jour 11/8/21 13:53 PM EST: Ajout d’informations sur Hive Ransomware.