Cyberattaques en chaîne : les détaillants britanniques sous pression face au ransomware DragonForce
Le secteur du commerce de détail au Royaume-Uni traverse une période difficile à cause d’une série d’attaques cybernétiques massives qui ont commencé au cours du dernier week-end de Pâques et qui semblent loin de se calmer. Parmi les enseignes affectées, Marks and Spencer (M&S) et Co-op ont vu leurs rayons souffrir de ruptures de stock dues aux perturbations causées par ces attaques.
Une opération de ransomware sophistiquée et revendiquée
Ces attaques ont été attribuées au groupe DragonForce, un acteur de type ransomware-as-a-service (RaaS), qui agit en collaboration avec des collectifs de hackers anglophones tels que Scattered Spider et The Com. Co-op a confirmé que ces cybercriminels sont hautement sophistiqués, ce qui a contraint l’entreprise à suspendre plusieurs de ses services pour gérer les conséquences de l’incident.
La faille a également affecté les données clients, notamment les noms, dates de naissance et coordonnées, excluant cependant des informations sensibles comme les mots de passe ou données financières, ce qui n’enlève rien à la gravité de la fuite, source de grande inquiétude pour les membres et employés.
Impacts humains et organisationnels
Chez M&S, la situation a été si critique que le personnel informatique a dû organiser des veilles nocturnes au bureau, faute de préparation adéquate aux cyberattaques de cette ampleur. Le chaos régnant souligne un manque de plans d’urgence adaptés face à une menace grandissante dans le secteur.
Le rôle du National Cyber Security Centre
Le Centre National de Cybersécurité (NCSC) travaille activement avec les entreprises touchées et les forces de l’ordre pour analyser la nature de ces attaques, déterminer si elles sont liées, et minimiser leur impact. Le NCSC encourage aussi la collaboration sectorielle pour partager les expériences et renforcements de sécurité grâce à ses groupes de confiance spécialisés.
Qui est DragonForce ?
À l’origine un groupe de hacktivistes malaisiens engagé dans des causes politiques, DragonForce a évolué vers un modèle hybride mêlant hacktivisme et extorsion via ransomware depuis l’été 2023. Il a ciblé divers gouvernements et entreprises en Israël, Inde, Arabie Saoudite, et Royaume-Uni. Le groupe utilise des techniques classiques mais efficaces : phishing ciblé, exploitation de vulnérabilités connues telles que Log4j et diverses failles Ivanti, et des attaques par vol de données d’accès.
Le ransomware déployé est une variante personnalisée reposant sur des bases techniques issues de LockBit et Conti, avec des capacités d’encryption avancées et une grande flexibilité pour les affiliés qui adaptent les attaques selon leurs objectifs. DragonForce offre également un service de personnalisation à ses affiliés, ce qui renforce son modèle de cybercriminalité en mode « cartel ».
Vers une vigilance renforcée
Cette vague d’attaques met en lumière le besoin urgent de renforcer les pratiques de cybersécurité dans le commerce de détail britannique et au-delà. Il est crucial que les entreprises adoptent des politiques solides, investissent dans des formations et sécurisent notamment leurs accès distants, tout en mettant en place des procédures de réponse aux incidents efficaces pour limiter les dégâts futurs.
👉 Source ici
