Selon de nombreuses informations, la société de télécommunications mobiles T-Mobile enquête sur une allégation faite par un pirate informatique au cours du week-end, selon laquelle des données auraient été volées à 100 millions de clients. Selon Bleeping Computerl'auteur de la menace prétend vendre une base de données contenant les dates de naissance, les numéros de permis de conduire et les numéros de sécurité sociale de 30 millions de personnes en échange de six bitcoins (environ 270 000 dollars). Ce n'est pas la première fois que T-Mobile est la cible d'une cyberattaque, mais la revendication de l'attaquant dans le cas présent semble indiquer que cette fois-ci pourrait être différente.
Un résultat atypique
Sans connaître tous les détails, il est difficile de savoir quelles tactiques ont été utilisées dans l'attaque, mais ce type d'activité des pirates informatiques peut avoir quelques conséquences.
Option 1 : le pirate négocie
Après avoirobtenu l'accès et la possibilité d'une violation, le pirate informatique informe le vendeur (dans ce cas T-Mobile) afin de fixer un prix pour régler le problème avant qu'il n'y ait des dommages. Rien n'indique ni ne signale que cela a été le cas ici.
Option 2 : Ransomware
Il n'y a rien de surprenant à cela, car il s'agit d'une préoccupation croissante pour les organisations, car les criminels peuvent exiger un prix élevé en échange du décryptage des données, alors qu'il n'y a aucune garantie que les données volées ne referont pas surface à l'avenir. D'après les rapports, il ne semble pas que T-Mobile ait affaire à un voleur de ransomware typique.
Option 3 : les données sont vendues sur le marché libre.
Si ce que le hacker prétend est vrai, c'est la situation actuelle pour T-Mobile et elle est loin d'être idéale car cela signifie généralement que l'attaquant a ce qu'il prétend et peut le prouver.
Ce type de collecte massive de données est caractéristique d’une attaque « low and slow » (discrete et prolongée), dans laquelle les attaquants parviennent à s’introduire dans un système et y opèrent sans être détectés, tout en recherchant des portes dérobées, en mettant les systèmes sur écoute et en exfiltrant des données. En effet, selon cet article de article de Dark Reading . À maintes reprises, les entreprises victimes de ces attaques constatent que tous les indices permettant de déterminer ce qui s’est passé sont enfouis dans les journaux d’événements et n’ont tout simplement pas été mis en relation de manière à déclencher les « signaux d’alarme » appropriés. Comme nous l’avons souligné lors d’attaques précédentes, il est important que les entreprises prennent conscience que les pirates informatiques n’agissent pas de manière évidente, mais sans la visibilité nécessaire pour détecter et bloquer leurs manœuvres, il est pratiquement impossible de se défendre contre eux.
Selon cet article deBleeping Computer, "l'acteur de la menace affirme avoir piraté les serveurs de production, de préparation et de développement de T-Mobile il y a deux semaines, y compris un serveur de base de données Oracle contenant des données sur les clients. Pour prouver qu'il s'est introduit dans les serveurs de T-Mobile, le site cybercriminels a partagé une capture d'écran d'une connexion SSH à un serveur de production exécutant Oracle."
Notre équipe de recherche suit de près l'évolution de la situation. Nous continuerons à publier des mises à jour sur notre blog, y compris des recommandations pour les entreprises concernées par les attaques persistantes.