Un géant de la logistique met en garde contre les e-mails du BEC suite à une attaque de ransomware

logistics

Hellmann Worldwide avertit les clients d’une augmentation des appels et des e-mails frauduleux concernant les transferts de paiement et les changements de compte bancaire après une récente attaque de ransomware.

L’attaque a eu lieu le 9 décembre et a contraint l’entreprise de logistique à fermer ses systèmes pour contenir la propagation du virus.

Cependant, au moment où l’équipe informatique de l’entreprise a répondu, les acteurs avaient déjà exfiltré des fichiers sensibles des serveurs consultés pour être utilisés comme levier de pression lors de la phase de négociation du paiement de la rançon.

Grâce à une mise à jour sur son site, Hellmann Worldwide admet que l’enquête médico-légale qui a suivi a confirmé une violation de données, mais enquête toujours sur ce qui a été volé.

En attendant, ils reçoivent plusieurs rapports de clients ciblés par des acteurs qui exploitent les données volées.

Comme l’entreprise le prévient dans la dernière mise à jour:

« Veuillez noter que le nombre d’appels et de courriers soi-disant frauduleux a généralement augmenté. Bien que la communication avec le personnel Hellmann par e-mail et par téléphone reste sûre (entrant et sortant), assurez-vous que vous communiquez réellement avec un employé Hellmann et méfiez-vous des courriers/appels frauduleux provenant de sources suspectes, en particulier concernant les virements de paiement, la modification des coordonnées bancaires, etc.

Hellmann Worldwide est une entreprise de logistique internationale avec un chiffre d’affaires de 2,53 milliards d’euros (2,85 milliards de dollars), 263 bureaux dans 56 pays, 10 601 employés et gère 16 millions d’expéditions par an.

Son réseau de partenaires est encore plus étendu, englobant 20 500 autres agents dans 489 bureaux, de sorte que les opportunités pour les escrocs et les acteurs de phishing BEC (business email compromis) sont pratiquement infinies.

RansomEXX revendique la responsabilité

EZpublish-france.fr a découvert que l’acteur responsable de l’attaque de ransomware contre Hellmann Worldwide est RansomEXX, un groupe de menaces faisant actuellement l’objet d’une réapparition.

Les acteurs ont publié toutes les données volées sur leur portail de fuite, totalisant 70,64 Go de documents, identifiants, correspondance, accords, commandes, etc.

Fuite des données de Hellman Worldwide Logistics
Fuite des données de Hellman Worldwide Logistics

La publication de ces dossiers est une indication que les négociations pour le paiement d’une rançon ont été conclues sans succès.

De plus, le fait que toutes ces données sensibles soient proposées au téléchargement à n’importe qui est directement lié à la hausse des appels frauduleux et des e-mails signalés par Hellmann Worldwide.

Certains incidents notables de ransomware attribués à RansomEXX cette année incluent des attaques contre :

En septembre de cette année, la société de cybersécurité Profero a publié un décrypteur fonctionnel pour les infections RansomEXX, qui peut aider les victimes de souches spécifiques de ciblage Linux.