Un groupe d’hacktivistes pro-ukrainiens a revendiqué la responsabilité de la violation en septembre de la société de sécurité russe Doctor Web (Dr. Web).
Dr. Web a confirmé le mois dernier que son réseau avait été piraté le 14 septembre, ce qui l’a obligé à déconnecter tous les serveurs internes et à cesser de transmettre les mises à jour de la base de données de virus aux clients tout en enquêtant sur l’incident.
Dans un message Telegram publié mardi, des hacktivistes pro-ukrainiens de DumpForums ont déclaré qu’ils étaient à l’origine du piratage et avaient eu accès aux systèmes de développement de Dr.Web.
Ils auraient eu accès au réseau de Dr.Web pendant environ un mois, ce qui leur aurait permis de voler environ dix téraoctets de données, y compris des bases de données client, sur GitLab, email, Confluence et d’autres serveurs compromis de l’entreprise.
« Nous avons réussi à pirater et à décharger le serveur GitLab de l’entreprise où le développement interne et les projets étaient stockés, le serveur de messagerie de l’entreprise, Confluence, Redmine, Jenkins, Mantis, RocketChat-des systèmes où le développement était effectué et les tâches discutées », a déclaré DumpForums.
L’équipe de recherche sur les menaces de ReliaQuest affirme que DumpForums est une « plaque tournante en ligne pour les hacktivistes et les acteurs patriotiques des cybermenaces » depuis au moins fin mai 2022.
Leurs efforts se concentrent sur le soutien à « l’effort de guerre ukrainien contre la Russie » par le biais d’attaques DDoS et de fuites d’informations volées au gouvernement russe et à des entités privées.
Dr. Web nie les allégations de vol de données
Aujourd’hui, Dr.Web a publié une déclaration en réponse à leurs affirmations, confirmant à nouveau la violation de septembre mais affirmant que l’attaque avait été « rapidement arrêtée. »
La société russe anti-malware a ajouté qu’elle ne paierait pas de demande de rançon, ce que les attaquants avaient depuis demandé, et a nié que des informations sur les clients avaient été volées lors de l’attaque.
« L’objectif principal était de demander une rançon à notre entreprise, mais nous ne négocions pas avec les attaquants. Pour le moment, les forces de l’ordre mènent une enquête et nous ne pouvons donc pas faire de commentaires détaillés afin de ne pas interférer avec l’enquête », a déclaré le Dr Web dans un message de télégramme mercredi.
« Les informations publiées dans Telegram sont pour la plupart fausses, les données des utilisateurs n’ont pas été affectées. Ni les mises à jour de la base de données de virus ni les mises à jour des modules logiciels ne constituent une menace pour la sécurité de nos utilisateurs. »
Dr. Web n’a pas encore répondu aux multiples courriels envoyés par Breachtrace pour demander plus d’informations concernant la violation et les réclamations de DumpForums.
Dr. Web est la plus récente entreprise russe de cybersécurité à avoir été ciblée et piratée lors d’une cyberattaque.
En juin, des pirates informatiques pro-ukrainiens Cyber Anarchy Squad ont violé la société russe de sécurité de l’information Avanpost, affirmant avoir divulgué 390 Go de données volées avant de crypter plus de 400 machines virtuelles.
Un an plus tôt, en juin 2023, Kaspersky avait également révélé que des attaquants avaient infecté des iPhones sur son réseau avec des logiciels espions via des exploits iMessage zero-click, qui ciblaient les bogues zero-day iOS dans le cadre d’une campagne désormais connue sous le nom de « Opération Triangulation. »