Des hackers tentent d’extorquer Wonderbox en échange de données volées

Victime d’une cyberattaque par rançongiciel, le spécialiste des coffrets cadeaux est soumis à un chantage à la divulgation de milliers de documents. Mais nie avoir subi une hémorragie de ses données.

Illustration. Un groupe de hackers a visé Wonderbox et menace de publier en ligne les données volées.
Illustration. Un groupe de hackers a visé Wonderbox et menace de publier en ligne les données volées. AFP/Nicolas Asfouri

Très mauvaise surprise pour le spécialiste des coffrets cadeaux. Wonderbox a été victime d’une cyberattaque de type rançongiciel fin janvier après le siphonnage de ses serveurs… selon les pirates de Darkside. L’entreprise refuse, elle, de confirmer l’importance des dégâts mais nous confirme avoir reçu une demande de rançon.

« Le Groupe Wonderbox a fait l’objet d’une tentative de cyberattaque du rançongiciel Darkside en date du 30 janvier 2021. L’intrusion a été détectée par la DSI du Groupe permettant d’empêcher le vol de données d’importance. L’incident n’a donc pas eu d’impact sur nos systèmes et données », affirme Mickaël Lenoir, son Directeur des Systèmes d’Information.

Les pirates menacent de divulguer les données

« Nos équipes ont pu continuer à travailler normalement. La cybersécurité est dans nos esprits au quotidien pour en améliorer toujours plus son efficacité » insiste-t-il.

Comme c’est devenu quasi systématique depuis 2019, les cybercriminels ont pourtant revendiqué l’intrusion et le vol des données sur un site dédié du DarkWeb. Ils assurent détenir 30 Go de données, dont des documents financiers et des informations personnelles dont ils donnent un échantillon avec une capture d’écran. Et adressent un message menaçant : « Les données sont pré-chargées et seront automatiquement publiées si vous ne payez pas ».

Le groupe de hackers a publié un échantillon des donnée volées.
Le groupe de hackers a publié un échantillon des donnée volées. DR/LP

Wonderbox nous assure ce vendredi que “l’intrusion concerne un PC d’un collaborateur et non pas nos serveurs, il ne s’agit donc pas de données sensibles mais simplement de fichiers de travail non stratégiques et en aucun cas de données clients”. Et insiste : “il s’agit d’une intrusion mineure sans conséquences graves contrairement à ce que voudraient faire croire les cyberattaquants”.

Moins connu que les cybergangs rivaux, Egregor ou REvil le groupe Darkside a commencé à faire parler de lui l’été dernier. Il opère comme ses concurrents un « ransomware-as-a-service », c’est-à-dire que le logiciel malveillant, développé par leurs soins et qui vient chiffrer les fichiers de la victime, est loué par des affiliés qui reversent une partie de leur butin après une extorsion. Ils chassent généralement les gros poissons qui ont les moyens de payer des centaines de milliers de dollars réclamés en monnaies virtuelles.

Newsletter L'essentiel du matin
Un tour de l'actualité pour commencer la journée
Toutes les newsletters

« Ils sont aussi connus pour avoir subi rapidement une réponse de l’entreprise de cybersécurité Bitdefender qui a mis à la disposition des victimes un outil de déchiffrement mais ils ont vite réagi pour mettre à jour leur rançongiciel », pointe David Bizeul, le directeur technique de Sekoia, une entreprise de cybersécurité. L’origine de ces cybercriminels reste incertaine. Ils communiquent souvent en cyrillique sur les forums russophones de hackers et ont recours à des serveurs basés en Iran pour stocker les données volées à leurs victimes.