Le gang de rançongiciels BlackCat (ALPHV) est à l’origine d’une cyberattaque en février sur Reddit, où les acteurs de la menace prétendent avoir volé 80 Go de données à l’entreprise.
Le 9 février, Reddit a révélé que ses systèmes avaient été piratés le 5 février après qu’un employé ait été victime d’une attaque de phishing.
Cette attaque de phishing a permis aux acteurs de la menace d’accéder aux systèmes de Reddit et de voler des documents internes, du code source, des données sur les employés et des données limitées sur les annonceurs de l’entreprise.
« Après avoir réussi à obtenir les informations d’identification d’un seul employé, l’attaquant a eu accès à certains documents internes, à du code, ainsi qu’à certains tableaux de bord internes et systèmes d’entreprise », a expliqué un article du directeur technique de Reddit, Christopher Slowe, alias KeyserSosa.
« Nous ne montrons aucune indication de violation de nos principaux systèmes de production (les parties de notre pile qui exécutent Reddit et stockent la majorité de nos données). »
Cependant, Reddit a déclaré que les systèmes de production n’avaient pas été piratés et qu’aucun mot de passe, compte ou information de carte de crédit n’avait été affecté.
Bien que Reddit n’ait pas partagé beaucoup de détails sur l’attaque de phishing, ils ont déclaré qu’elle était similaire à une attaque de phishing contre Riot Games qui permettait aux pirates d’accéder aux systèmes et de voler le code source de League of Legends (LoL), Teamfight Tactics (TFT), et l’ancienne plate-forme anti-triche Packman de la société.
Lors de l’attaque contre Riot, les acteurs de la menace ont exigé 10 millions de dollars pour ne pas divulguer les données volées. Cependant, lorsqu’une rançon n’a pas été payée, les acteurs de la menace ont tenté de vendre les données pour 1 million de dollars sur un forum de piratage.
BlackCat derrière le piratage de Reddit
Repérée pour la première fois par Dominic Alvieri et partagée avec Breachtrace, l’opération de rançongiciel ALPHV, plus connue sous le nom de BlackCat, prétend désormais être à l’origine de la cyberattaque du 5 février sur Reddit.
Dans un article « Reddit Files » sur le site de fuite de données du gang, les acteurs de la menace affirment avoir volé 80 Go de données compressées à l’entreprise lors de l’attaque et prévoient maintenant de divulguer les données.
Les acteurs de la menace disent avoir tenté de contacter Reddit à deux reprises, les 13 avril et 16 juin, exigeant 4,5 millions de dollars pour la suppression des données, mais n’ont pas reçu de réponse.
« Je leur ai dit dans mon premier e-mail que j’attendrais leur introduction en bourse. Mais cela semble être l’occasion idéale ! Nous sommes très confiants que Reddit ne paiera pas d’argent pour leurs données », a menacé l’opération ransomware.
« Mais je suis très heureux de savoir que le public pourra lire toutes les statistiques qu’ils suivent sur leurs utilisateurs et toutes les données confidentielles intéressantes que nous avons prises. Saviez-vous qu’ils censurent également les utilisateurs en silence ? Avec des artefacts de leur GitHub ! «
Alors que Reddit a refusé de commenter le message de BlackCat, Breachtrace a pu confirmer qu’il s’agit de la même attaque divulguée par Reddit en février.
Le même groupe de piratage serait lié à une attaque similaire contre Western Digital en mars 2023, provoquant une panne massive du service cloud My Cloud de l’entreprise.
Alors que les acteurs de la menace à l’origine de l’attaque de Western Digital ont initialement prétendu ne pas avoir de nom, des captures d’écran des données volées ont été divulguées sur le site de fuite de données ALPHV, les acteurs de la menace se moquant de l’entreprise à propos de l’attaque.
Western Digital a envoyé des notifications de violation de données en mai, avertissant les clients de la boutique en ligne que leurs données avaient été volées lors de l’attaque.