Le géant des affaires Xerox serait victime d’une attaque Maze Ransomware

Le géant des affaires Xerox serait victime d’une attaque Maze Ransomware

Les opérateurs de ransomware Maze ont mis à jour leur liste de victimes en ajoutant Xerox Corporation à la liste. Il semble que la routine de cryptage se soit terminée le 25 juin.

La société n’a pas encore confirmé ou nié une cyberattaque sur son réseau, mais les captures d’écran de l’attaquant montrent que les ordinateurs d’au moins un domaine Xerox ont été cryptés.

Xerox Corporation est une énorme entreprise présente dans au moins 160 pays. Elle a enregistré un chiffre d’affaires de plus de 1,8 milliard de dollars au premier trimestre 2020 et compte 27000 employés à travers le monde. Il fait partie de la liste Fortune 500, actuellement au 347, avec un chiffre d’affaires de plus de 9 milliards de dollars l’année dernière.

Menace de publier plus de 100 Go de données

Le 24 juin, pendant un bref instant, le site de fuite de Maze a montré Xerox parmi les victimes de ce groupe de ransomware. Nous avons contacté Xerox à l’époque mais n’avons pas reçu de réponse.

Les attaquants ont déclaré à BleepingComputer qu’ils avaient compromis le réseau de l’entreprise mais les avaient ajoutés trop tôt.

Tout comme les messages précédents de Maze, celui de Xerox ne contient aucun détail sur l’attaque, à l’exception de la preuve de la violation et du chiffrement des systèmes de l’entreprise.

Selon l’attaquant, ils ont volé plus de 100 Go de fichiers à Xerox et sont déterminés à tout partager si l’entreprise choisit de ne pas engager de négociations pour le paiement d’une rançon.

«Après le paiement, les données seront supprimées de nos disques et un décrypteur vous sera remis, afin que vous puissiez restaurer tous vos fichiers», lit-on dans la note de rançon.

Maze a publié un ensemble de 10 captures d’écran, montrant les listes de répertoires des 24 et 25 juin, les partages réseau et la note de rançon qui est abandonnée une fois la routine de cryptage terminée.

Plus précisément, une image montre que les hôtes de «eu.xerox.net», géré par Xerox Corporation, ont été compromis. Les systèmes d’autres domaines pourraient également être affectés.

Alors que le domaine révèle que le ransomware Maze a violé une succursale Xerox en Europe, les noms des hôtes suggèrent que c’est celui de Londres.

Une autre capture d’écran d’un écran de bureau portant le nom de la marque Xerox montre la note de rançon déposée par l’attaquant, qui a menacé de publier des informations sur la violation si l’entreprise ne les contactait pas dans les trois jours.

Les affiliés du ransomware Maze ont violé les grandes entreprises à gauche et à droite. Certaines des attaques les plus récentes revendiquées par ce groupe incluent LG Electronics, le fabricant de puces MaxLinear, le géant informatique Cognizant et la société de services aux entreprises Conduent.

Les infections par ransomware exploitent généralement les services de bureau à distance exposés, puis accèdent aux comptes d’administrateur de domaine. À partir de là, ils peuvent basculer vers des hôtes précieux. Les vulnérabilités des systèmes qui font face au Web public sont également un point d’entrée pour ces attaquants.

À partir de l’année dernière, des groupes de ransomwares ont commencé à voler des données sur le réseau victime et à menacer de les publier à moins que la rançon ne soit payée.

IONUT ILASCU le 30 juin 2020

Cet article a 1 commentaire

  1. Déplumé

    « Maze Ransomware », quel drôle de nom? Nous, salariés, les gens qui nous rançonnent, on les appellent simplement « les actionnaires »

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.