Shirbit refuse de verser la rançon aux hackers, qui publient des données
Les cybercriminels ont divulgué des données sensibles sur les clients de la société d'assurance israélienne, qui a déploré ce "terrorisme", et des messages des négociations
Des hackers ont publié des informations sensibles volées à la compagnie d’assurance Shirbit après que la compagnie a refusé de payer vendredi le million de dollars de rançon. Les informations concernaient les clients.
Des milliers de photocopies de carte d’identité, de documentes médicaux, de bulletins de salaires, de chéquiers et autres données personnelles ont été publiées, selon la Douzième chaîne.
Les pirates informatiques ont maintenant doublé leur demande de rançon et affirment détenir d’autres informations qui seront divulguées ou vendues si cette rançon n’est pas payée.
Shirbit a déclaré dans un communiqué qu’elle ne « cédera pas à ce type de terrorisme ».
Le groupe responsable de l’attaque, Black Shadow, a dit que, si la somme demandé de 50 bitcoins (950 000 dollars) était transférée dans la matinée de vendredi, il ne publierait ni ne vendrait les informations. Cependant, il a averti que la somme doublerait à partir de vendredi 9 heures, et doublerait à nouveau à partir de samedi 9 heures si l’argent n’était pas transféré.
Les hackers ont menacé de vendre les données à une tierce personne si la rançon n’était pas payée dimanche matin.
Avant cette date-butoir, les hackers ont publié un communiqué affirmant que « Shirbit ne nous a pas encore payés. Il semble que la fuite de détails privés concernant leurs clients, leurs employés et des fonctionnaires ne soit pas importante à leurs yeux ».
Dans un communiqué expliquant leur refus de payer, Shirbit a déclaré qu’après avoir négocié toute la nuit de jeudi à vendredi, « tous les professionnels compétents sont arrivés à la conclusion que le cyber-terrorisme était destiné à causer un tort stratégique et qu’il n’y avait aucun motif financier derrière cela ».
La compagnie a semblé insinué que l’attaque visait Israël, plutôt que la compagnie spécifiquement. Cependant, la Douzième chaîne a avancé qu’il n’y avait aucune preuve à cela.
Parallèlement, les hackers ont publié des captures d’écran de leurs présumées conversations avec Shirbit, où ils semblent hautement portés sur l’aspect financier, tandis qu’un représentant de la société semble essayer de gagner du temps.
Vendredi, à 9 heures, les fuites ont commencé sur une chaîne ouverte dans l’application Telegram.
Black Shadow a également publié un communiqué après la fuite, indiquant : « Nous avons fait ce que nous avons promis. La compagnie n’a pas voulu nous payer. Shirbit a prouvé à tout le monde que les documents des clients ne sont pas importants pour eux. » Le groupe a ajouté : « Nous avons encore dix térabytes d’information [à faire fuiter]. »
Le groupe de hackers a publié des captures d’écran d’échanges WhatsApp présumés entre eux et une représentante de Shirbit qui parlait au nom du PDG.
Les messages étaient rédigés dans un mauvais anglais. « Ilia », la représentante de Shirbit, a tenté à plusieurs reprises mais sans succès d’obtenir des garanties, des informations et des reports de la date-butoir de la part des cyber-criminels.
Dans une tentative d’engager la conversation avec les hackers, Ilia leur a dit qu’avant de « faire des affaires », « comme pour un rendez-vous galant, nous devons faire un peu connaissance… »
Ilia a tenté, à plusieurs reprises, de faire appel au sens de l’honneur des hackers, a demandé à payer la rançon en deux fois et a tenté d’extorquer des informations.
Dans une partie de l’échange, Ilia, demandant de reporter la date limite pour pouvoir obtenir « les approbations du gouvernement », a dit aux pirates : « OK bro. J’ai besoin que tu sois un mentch » – mot yiddish signifiant une « bonne personne », généralement orthographié « mensch ».
L’échange s’est terminé par une déclaration répétée des pirates informatiques selon laquelle le paiement était nécessaire avant 9 heures du matin et par des tentatives d’Ilia de poursuivre la conversation.
L’attaque a été initialement annoncée dans un communiqué conjoint mardi lorsque l’Autorité des marchés financiers et la Direction nationale israélienne de la cybersécurité ont confirmé qu’il y avait eu une cyberattaque contre Shirbit et que des informations avaient été divulguées.
Selon le communiqué, une enquête sur un éventuel cyber-incident avait commencé la nuit précédente après des soupçons d’attaque contre les serveurs de l’entreprise.
Black Shadow a revendiqué le piratage, se vantant dans une série de tweets dans un anglais mal écrit de son succès. Ils ont publié des le départ des images de certaines des informations dérobées, ainsi que des détails techniques apparemment destinés à prouver l’ampleur de l’assaut.
« Une énorme cyberattaque a été menée par l’équipe de Black Shadow », a tweeté le groupe. « Il y a eu une attaque massive contre l’infrastructure réseau de la société Shirbit, qui se trouve dans la sphère économique d’Israël. »
« Dans cette action, en plus des graves dommages causés aux centres de données, des informations d’une part importante des clients de l’entreprise ont été dérobées », a poursuivi le groupe, affirmant s’être emparé « des documents d’identité des abonnés et des états financiers et autres documents liés à l’entreprise ».
« De plus, toutes les identités des clients et des employés ont été piratées », a déclaré Black Shadow, qui n’a donné aucun motif à son piratage.
L’un des documents que le groupe a tweeté semblait montrer les détails personnels, y compris l’adresse du domicile et les numéros de téléphone, du président du tribunal de district de Tel Aviv, le juge Gilad Neuthal.
Un cadre supérieur de Shirbit, qui n’a pas été nommé, a déclaré à la Douzième chaîne : « Nous ne savons pas qui est derrière l’attaque. Nous avons supprimé notre site Web afin d’éviter de nouvelles cyberattaques. »
Shirbit est spécialisé dans l’assurance immobilière, automobile et voyage. Il y a un mois, la société a remporté une offre d’assurance automobile pour les employés de la fonction publique du pays en 2021, a rapporté le site Web de Walla.