Black Cat Ransomware Gang revendique 80 Go de données Reddit volées

En février, Reddit, la plate-forme d'agrégation de nouvelles sociales, a connu une faille de sécurité dans laquelle des personnes non autorisées ont eu accès à des documents internes, à du code et à certains systèmes commerciaux.

La société a révélé avoir été victime d'une attaque sophistiquée et ciblée le 5 février 2023. L'attaque a pris la forme d'une campagne de phishing très ciblée dirigée contre les employés de Reddit. Il est important de noter que les mots de passe et les comptes des utilisateurs n'ont pas été compromis lors de cet incident.

Les messages de harponnage utilisaient une tactique consistant à rediriger les utilisateurs vers un site Web qui imitait la passerelle intranet de l'entreprise. La page d'accueil de ce site Web trompeur a été conçue pour inciter les victimes à fournir leurs identifiants de connexion et des jetons d'authentification de second facteur.

Selon un avis publié par la société, la campagne de phishing a été découverte fin février 5, 2023 (PST). Les attaquants ont utilisé des invites plausibles pour diriger les employés vers le site Web clone de la passerelle intranet de Reddit, dans le but de voler leurs informations de connexion et leurs jetons de second facteur.

Une fois que les attaquants ont obtenu les informations d'identification d'un seul employé, ils ont pu accéder à certains documents internes, code, tableaux de bord internes et systèmes d'entreprise. Il est important de noter que les systèmes de production primaires de l'entreprise n'ont pas été compromis.

L'avis indique en outre que l'exposition était limitée à certaines informations de contact de contacts et d'employés actuels et anciens de l'entreprise, ainsi qu'à des informations limitées sur les annonceurs. L'enquête initiale menée par les équipes de sécurité, d'ingénierie et de science des données de Reddit n'a trouvé aucune preuve suggérant que des données non publiques avaient été consultées, publiées ou distribuées en ligne.

Après avoir découvert l'incident, l'employé concerné a signalé lui-même la tentative de phishing, ce qui a conduit à une enquête interne pour évaluer l'étendue de la violation. L'équipe de sécurité de Reddit a rapidement répondu à l'incident en bloquant l'accès des intrus.

Par la suite, le gang de rançongiciels BlackCat/ALPHV a revendiqué la cyberattaque sur Reddit en février. Le groupe allègue avoir volé 80 Go de données (compressées) sur la plateforme. Ils ont tenté de contacter Reddit à deux reprises, les 13 avril et 16 juin, mais sans succès.

Black Cat publie des réclamations de 80 Go volés à Reddit

Le groupe de rançongiciels a publié un message sur son site de fuite de données Tor, indiquant qu'il s'est introduit dans Reddit le 5 février 2023 et a acquis 80 gigaoctets de données. Ils ont mentionné avoir envoyé deux e-mails à Reddit, mais n'ont pas tenté de déterminer la nature exacte des données volées. De plus, le groupe a critiqué Steve Huffman, PDG de Reddit, pour ses actions et a fait référence à des cas antérieurs impliquant des chefs d'entreprise lors d'événements publics. Ils se sont dits convaincus que Reddit ne paierait aucune rançon pour les données volées et semblaient impatients que le public ait accès aux statistiques et aux informations confidentielles qu'ils avaient obtenues.

Le groupe BlackCat/ALPHV réclame 4,5 millions de dollars pour supprimer les données volées. Cette organisation cybercriminelle est active depuis novembre 2021 et a ciblé diverses victimes, dont SOLAR INDUSTRIES INDIA (un fabricant d'explosifs industriels), NJVC (un entrepreneur de la défense américaine), Creos Luxembourg SA (une société de gazoducs), Moncler (un géant de la mode) , Swissport, NCR et Western Digital.

Les demandes de rançon de ce groupe ont varié, allant de dizaines de milliers de dollars à des dizaines de millions de dollars, selon la victime.