Le groupe de ransomware Rhysida a publié près de deux téraoctets de données internes volées à Gemini Group, un fabricant basé dans le Michigan qui fournit de l’outillage et des matériaux à de grandes entreprises automobiles. La fuite fait suite à une date limite de rançon qui a expiré fin octobre et expose des documents sensibles appartenant à la fois à des employés et à des clients.
Rhysida a répertorié Gemini Group sur son site de fuite et a publié environ 1,9 téraoctet de données contenant plus de 1,7 million de fichiers. Le matériel volé comprendrait des registres de paie, des documents d’assurance, des bases de données de clients, des communications internes et des rapports de production. Les chercheurs en sécurité ont confirmé que l’ensemble de données contient des détails financiers, des informations personnelles sur les employés et des documents de l’entreprise qui pourraient révéler les opérations internes et les structures de prix.
Le groupe Gemini exploite 18 installations aux États-Unis et au Mexique et emploie plusieurs milliers de travailleurs. La société a confirmé qu’elle avait été victime d’un incident de cybersécurité, mais n’a pas fourni de détails sur la façon dont les attaquants ont obtenu l’accès, si un ransomware a été déployé ou si une demande de rançon a été payée. La société a déclaré qu’elle travaillait avec des experts en cybersécurité et les forces de l’ordre pour déterminer l’étendue de la violation.
La fuite de données, publiée le 31 octobre, soulève d’importantes préoccupations en matière de protection de la vie privée et d’affaires. Les fichiers circulant en ligne semblent contenir des noms d’employés, des titres de poste, des dates d’embauche, des dates de naissance, des adresses, des numéros de sécurité sociale, des informations sur les salaires et des détails sur l’assurance maladie. Certains documents font également référence à des bons de commande et à des communications avec les fournisseurs qui pourraient exposer des stratégies et des relations commerciales.
Les analystes en cybersécurité affirment que l’exposition de données personnelles et d’entreprise aussi détaillées pourrait avoir des conséquences à long terme. Les identifiants personnels tels que les numéros de sécurité sociale ne peuvent pas être modifiés facilement, ce qui crée un risque permanent d’usurpation d’identité et de fraude financière. Dans le même temps, la publication de données commerciales pourrait permettre aux concurrents d’étudier la dynamique de la chaîne d’approvisionnement ou les prix, ce qui pourrait nuire aux relations d’affaires du groupe Gemini.
Rhysida cible les chaînes d’approvisionnement industrielles
Rhysida, une opération de ransomware observée pour la première fois en 2023, a été liée à de nombreuses attaques contre des établissements manufacturiers, de santé et d’enseignement. Le groupe obtient généralement l’accès par le biais d’informations d’identification compromises ou de systèmes d’accès à distance vulnérables avant de voler des données et de menacer de les rendre publiques. Les experts estiment que Rhysida se concentre sur les organisations dont les opérations sont critiques, où les temps d’arrêt pourraient pousser les victimes à payer des rançons.
Dans ce cas, les attaquants semblent avoir donné la priorité au vol de données plutôt qu’à la perturbation du système. La fuite d’importants volumes de documents suggère un processus d’exfiltration organisé destiné à causer des dommages à la réputation et aux finances. L’annonce du groupe décrit Gemini Group comme faisant partie d’une campagne ciblant ce qu’il a appelé des « opérateurs industriels stratégiques », une affirmation qui s’aligne sur les récents incidents impliquant d’autres fabricants nord-américains.
Les analystes de la sécurité notent que les réseaux d’approvisionnement manufacturiers et industriels sont devenus des cibles clés en raison de leurs systèmes interconnectés et de leur dépendance à l’égard de fournisseurs tiers. Une violation chez un fournisseur peut exposer des informations sensibles dans plusieurs entreprises, amplifiant ainsi l’ampleur de chaque attaque. Dans des secteurs comme la production automobile, où la coordination numérique de la chaîne d’approvisionnement est essentielle, les risques s’étendent au-delà d’une seule entreprise.
La violation de Gemini Group illustre comment les attaquants considèrent de plus en plus les fournisseurs comme des passerelles vers des réseaux plus vastes. Les fournisseurs industriels stockent souvent la documentation des clients, les plans de conception et les données opérationnelles qui sont précieux pour les acteurs de la menace criminels et étatiques. Les experts préviennent que ces réseaux doivent être traités comme des infrastructures critiques nécessitant les mêmes normes de cybersécurité que les grands fabricants.
La société n’a pas commenté publiquement l’authenticité des fichiers divulgués, mais les forums de cybersécurité qui ont examiné des échantillons rapportent que les données semblent légitimes. Gemini Group continue de travailler avec des enquêteurs externes, tandis que les employés concernés sont invités à surveiller les comptes de crédit et financiers et à surveiller les tentatives d’hameçonnage utilisant des informations volées.
L’incident met en évidence le chevauchement croissant entre les violations de données et les campagnes de ransomware dans les secteurs industriels. Même lorsque les systèmes restent opérationnels, le vol d’informations confidentielles peut être suffisamment dommageable pour perturber la continuité des activités. Pour des entreprises comme Gemini Group, le défi consiste désormais à sécuriser les opérations numériques à travers un vaste réseau de fournisseurs tout en rassurant les partenaires sur le fait que l’intégrité des données peut être restaurée.