Le groupe de ransomware Qilin a revendiqué la responsabilité d’une cyberattaque contre Yanfeng Automotive Interiors (Yanfeng), l’un des plus grands fournisseurs de pièces automobiles au monde.
Yanfeng est un développeur et fabricant chinois de pièces automobiles axé sur les composants intérieurs et emploie plus de 57 000 personnes sur 240 sites dans le monde.
Elle vend des composants intérieurs à General Motors, au groupe Volkswagen, Ford, Stellantis (Fiat, Chrysler, Jeep, Dodge), BMW, Daimler AG, Toyota, Honda, Nissan et SAIC Motor. L’entreprise constitue un élément crucial de la chaîne d’approvisionnement de ces constructeurs automobiles.
Plus tôt ce mois-ci, il a été signalé que Yanfeng avait été touché par une cyberattaque qui a directement affecté Stellantis, obligeant le constructeur automobile à arrêter la production dans ses usines nord-américaines.
La société chinoise n’a pas répondu aux demandes de commentaires sur la situation. Cependant, son site Web principal était inaccessible jusqu’à hier, lorsqu’il est revenu en ligne sans aucune déclaration concernant la panne.
Stellantis a déclaré à Breachtrace avoir subi une perturbation en raison d’un « problème » chez un fournisseur externe.
« En raison d’un problème avec un fournisseur externe, la production dans certaines des usines d’assemblage de Stellantis en Amérique du Nord a été perturbée la semaine du 13 novembre », a expliqué Stellantis dans un communiqué.
« La pleine production dans toutes les usines concernées avait repris le 16 novembre. »
Qilin revendique l’attaque
Le groupe de ransomware Qilin, également connu sous le nom de « Agenda », a revendiqué l’attaque contre Yanfeng en les ajoutant hier à leur site d’extorsion de fuite de données Tor.
Les auteurs de la menace ont publié plusieurs échantillons pour prouver leur accès présumé aux systèmes et fichiers de Yanfeng, notamment des documents financiers, des accords de non-divulgation, des fichiers de devis, des fiches techniques et des rapports internes.
Qilin a menacé de divulguer toutes les données en sa possession dans les prochains jours, mais aucun délai précis n’a été fixé.
Le groupe de ransomwares Qilin a lancé sa plateforme RaaS (ransomware as a service) fin août 2022 sous le nom « Agenda ».
En 2023, les auteurs de la menace ont rebaptisé leur ransomware sous le nom de « Qilin », sous lequel ils opèrent aujourd’hui.
Les acteurs de la menace ciblent les entreprises de tous les secteurs, et de nombreuses attaques proposent une personnalisation du processus de terminaison et des modifications d’extension de fichier pour maximiser l’impact.
Group-IB a réussi à infiltrer les opérations de Qilin et a publié un rapport en mai 2023 pour partager les renseignements qu’il a collectés, y compris des détails sur le recrutement du gang, les fonctionnalités du panneau d’administration et les exclusions de cibles.