Un groupe de ransomware appelé DragonForce affirme avoir mené une intrusion chez Mobilelink USA, un grand détaillant qui exploite des magasins Cricket Wireless à travers les États-Unis. Le groupe a déclaré avoir extrait plus de 5 To de données des systèmes de l’entreprise. Les attaquants allèguent que le matériel contient des documents internes et des informations liées aux clients, bien qu’ils n’aient pas publié de fichiers exemples pour confirmer cette affirmation.
Mobilelink USA gère plus de 550 magasins à la marque Cricket répartis dans 21 États. Les analystes de la sécurité ont indiqué que si les affirmations sont exactes, l’impact potentiel pourrait s’étendre à une large clientèle. Ils ont noté que les détaillants détiennent souvent un mélange de données opérationnelles, incluant les coordonnées des clients, les dossiers d’achat d’appareils et les informations liées aux comptes utilisées pour soutenir l’activation du service. Les analystes ont indiqué que toute exposition de ce matériel pourrait augmenter le risque de tentatives de phishing et d’autres formes de fraude.
DragonForce, lié à la Russie, est décrit par les chercheurs comme un ransomware actif, en tant qu’organisation de service impliquée dans des campagnes mondiales de vol de données et d’extorsion. Le groupe a été lié à des incidents visant des entreprises de divers secteurs. Les spécialistes ont indiqué que DragonForce annonce couramment les violations en publiant des affirmations non vérifiées avant de publier des preuves de vol de données. Ils ont ajouté que cette approche vise à faire pression sur les organisations pour qu’elles négocient.
L’intrusion chez Mobilelink USA n’a pas encore été confirmée par la société. Aucune déclaration publique n’a été publiée, et les détails sur la nature de l’attaque restent limités. Les analystes en cybersécurité ont indiqué que dans les cas où des attaquants affirment avoir extrait de grands ensembles de données, les entreprises mènent généralement des enquêtes médico-légales parallèles pour valider ou réfuter ces allégations. Ils ont indiqué que ces demandes peuvent prendre du temps car les enquêteurs doivent examiner l’activité des serveurs, les journaux et le comportement réseau pour identifier les points d’accès potentiels.
Les experts ont indiqué que si les données des clients étaient compromises, les individus pourraient être tentés d’obtenir des informations personnelles supplémentaires par communication frauduleuse. Les attaquants utilisent souvent des données partielles pour créer des messages convaincants qui semblent provenir d’équipes de service client légitimes. Les analystes ont conseillé aux clients de Cricket Wireless et Mobilelink USA de surveiller l’activité des comptes, de consulter les relevés de facturation et de rester vigilants face à tout contact non sollicité demandant une vérification des informations personnelles.
Les groupes de ransomware ciblent fréquemment les détaillants en raison de leur large clientèle et de leurs environnements informatiques distribués. Les analystes ont indiqué que les systèmes de point de vente, les plateformes de support client et les outils de gestion des appareils peuvent offrir des opportunités aux attaquants si les réseaux ne sont pas entièrement segmentés ou surveillés. Ils ont ajouté que les détaillants dépendent d’une disponibilité continue des systèmes pour soutenir les opérations quotidiennes, ce qui peut les rendre vulnérables à l’extorsion.
Les forces de l’ordre et les autorités de cybersécurité continuent de suivre les groupes de ransomware spécialisés dans le vol de données. Les enquêteurs ont indiqué que les attaques motivées par l’extorsion restent un défi important car les attaquants opèrent souvent au-delà des frontières et s’appuient sur des canaux de communication chiffrés. Ils ont noté que les allégations de vol de données sont parfois exagérées, mais doivent être évaluées avec soin car même une exposition limitée peut créer des risques pour les individus.
Mobilelink USA n’a pas indiqué quand d’autres informations seront publiées. Les analystes attendent des détails supplémentaires une fois que l’entreprise aura terminé les premières évaluations ou si le groupe de ransomware publie des preuves.