Le gang de rançongiciels Qilin a revendiqué la responsabilité de l’attaque de Lee Enterprises qui a perturbé les opérations le 3 février, divulguant des échantillons de données qui, selon eux, ont été volés à l’entreprise.
Les acteurs de la menace ont maintenant menacé de divulguer toutes les données prétendument volées le 5 mars 2025, à moins qu’une demande de rançon ne soit payée.
Lee Enterprises est une société de médias basée aux États-Unis qui possède et exploite plus de 77 quotidiens, 350 publications, des plateformes de médias numériques et des services de marketing. L’entreprise se concentre principalement sur les nouvelles et la publicité locales, son audience numérique atteignant des dizaines de millions de personnes par mois.
Dans un dépôt auprès de la Securities and Exchange Commission (SEC) des États-Unis plus tôt ce mois-ci, la société a révélé qu’elle avait subi une cyberattaque le 3 février 2025, provoquant d’importantes perturbations opérationnelles.
Breachtrace a appris que la panne avait causé des problèmes importants, tels que la perte d’accès aux systèmes internes et au stockage en nuage, et que les VPN d’entreprise ne fonctionnaient pas.
Une semaine plus tard, Lee Enterprises a déposé un nouveau dossier auprès de la SEC précisant que les pirates « chiffraient les applications critiques et exfiltraient certains fichiers », indiquant qu’ils avaient été touchés par un ransomware.
Aujourd’hui, Qilin ransomware a ajouté Lee Enterprises à son site d’extorsion sur le dark Web, partageant des échantillons des données prétendument volées, y compris des analyses d’identité gouvernementales, des accords de non-divulgation, des feuilles de calcul financières, des contrats/accords et d’autres documents confidentiels prétendument volés à l’entreprise.
Les acteurs du ransomware ont affirmé avoir volé 120 000 fichiers d’une taille totale de 350 Go et ont menacé de tout publier le 5 mars.
Breachtrace a contacté Lee Enterprises pour savoir si les données volées leur appartenaient, mais aucun commentaire n’était immédiatement disponible.
Évolution du ransomware Qilin
Qilin n’est pas l’un des gangs de ransomwares les plus prolifiques, mais il a parcouru un long chemin depuis son lancement en août 2022 sous le nom de « Agenda ». »
Au cours des années qui ont suivi, les cybercriminels ont fait des centaines de victimes, avec quelques cas notables, notamment le géant de l’automobile Yangfeng, les Services judiciaires australiens Victoria et plusieurs grands hôpitaux du NHS à Londres.
En termes d’évolution technique, Qilin a introduit une variante Linux (VMware ESXi) en décembre 2023, a commencé à déployer un voleur d’informations d’identification Chrome personnalisé en août 2024 et a introduit un casier de données basé sur Rust avec un cryptage plus fort et une meilleure évasion en octobre dernier.
L’année dernière, Microsoft a publié un rapport indiquant que les membres notoires du collectif de pirates informatiques « Scattered Spider » avaient commencé à utiliser le ransomware Qilin dans des attaques.