Le gang des rançongiciels BlackCat, également connu sous le nom d'ALPHV, a revendiqué la responsabilité de la cyberattaque de février sur Reddit, au cours de laquelle 80 Go de données zippées ont été dérobées à l'entreprise.
Les acteurs de la menace prévoient maintenant de faire fuir les données, car ils n'ont pas reçu le montant du ransomware qu'ils exigeaient.
Cyberattaque de février sur Reddit
Le 9 février 2023, le site Web d'agrégation de nouvelles sociales et de discussion Reddit a révélé que leurs systèmes avaient été piratés lors d'une attaque d'Hameçonnage sophistiquée et très ciblée le 5 février 2023, après qu'un employé ait été victime d'une attaque d'hameçonnage.
Cette attaque de phishing a permis aux acteurs de la menace d'accéder aux identifiants des employés, à certains documents internes, au code source, à certains tableaux de bord internes et systèmes commerciaux, ainsi qu'à des informations limitées sur les annonceurs.
Selon Reddit, ils ont pris connaissance de l'attaque de phishing le dimanche (7 février 2023) après que l'employé concerné a signalé lui-même l'incident à l'équipe de sécurité peu de temps après avoir été victime d'un phishing.
L'entreprise a souligné qu'elle n'avait trouvé aucune preuve de la violation de ses systèmes de production primaires (les parties de sa pile qui… courir Reddit et stockent la majorité des données du site). De plus, les attaquants n'ont pas pu accéder aux mots de passe des utilisateurs, à leurs comptes ou aux informations relatives à leurs cartes de crédit.
De plus, l'entreprise a ajouté qu'il n'y avait aucune preuve que les informations volées sur Reddit aient été publiées ou distribuées en ligne.
“L'exposition comprenait des informations de contact limitées pour (actuellement des centaines) de contacts et d'employés de l'entreprise (actuels et anciens), ainsi que des informations limitées sur les annonceurs”, a expliqué Christopher Slowe, alias KeyserSosa, directeur technique de Reddit, dans un billet.
“Sur la base de plusieurs jours d'enquête initiale menée par la sécurité, l'ingénierie et la science des données (et des amis !), nous n'avons aucune preuve suggérant qu'une de vos données non publiques a été consultée, ou que les informations de Reddit ont été publiées ou distribuées en ligne.”
En réponse à l'incident, l'équipe de sécurité de Reddit a rapidement modifié le statut du compte en supprimant l'accès de l'infiltré aux systèmes de Reddit. Le site a même lancé une enquête interne sur l'incident.
BlackCat revendique le piratage de Reddit
Aujourd'hui, plusieurs mois après la faille de sécurité, le ransomware Gang BlackCat (ALPHV) a revendiqué la responsabilité de la cyberattaque du 5 février sur Reddit.
Le message a d'abord été repéré par Dominic Alvieri, analyste en cybersécurité et chercheur en sécurité, sur le site de fuite de données du gang dans un post “Reddit Files”. Il a par la suite partagé la capture d'écran du post du site d'AlphV sur sa poignée Twitter.
Selon le billet, l'ALPHV affirme avoir volé 80 Go de données compressées lors de la cyberattaque de février. Le gang a tenté de contacter les responsables de Reddit le 13 avril et le 16 juin et a exigé 4,5 millions de dollars en échange de la suppression des données. Cependant, ils n'ont pas reçu de réponse de Reddit ; c'est pourquoi ils prévoient maintenant de faire fuir les données.
Les pirates ont également menacé Reddit de retirer leurs modifications de prix de l'API. Le groupe menace également de divulguer les données concernant les statistiques qu'ils suivent sur les utilisateurs, ainsi que la censure silencieuse des utilisateurs par l'entreprise.
“Je leur ai indiqué dans mon premier courriel que je pourrais attendre son introduction en bourse pour revenir à côté. Mais cela semble être la bonne solution ! Nous sommes sûrs que Reddit ne paiera pas d'argent pour ses informations”, a menacé le ransomware.
“Cependant, je suis très joyeux de savoir que le grand public aura la possibilité d'examiner toutes les statistiques qu'ils observent sur leurs clients et toutes les informations confidentielles fascinantes que nous avons prises. Sais-tu qu'en plus, ils censurent silencieusement les clients ? Avec les artefacts de leur GitHub !”
Bien que Reddit ait refusé de commenter le post de BlackCat, BleepingComputer a vérifié et confirmé de manière indépendante que le groupe parle de la même attaque divulguée par Reddit en février 2023.
