Début avril, le groupe pharmaceutique et cosmétique Pierre Fabre indiquait avoir été victime d’une cyberattaque, mettant certains de ses sites de production à l’arrêt. Depuis, le groupe de ransomware Revil a revendiqué l’attaque. Il a diffusé des documents volés selon le site Bleepingcomputer.
Le groupe Pierre Fabre, basé à Castres (Tarn), compte de 10 400 salariés dans le monde – plus de 6 000 en France – répartis sur une cinquantaine de sites, dont 15 principaux en France. Troisième laboratoire français, il compte plusieurs segments d’activité, la dermo-cosmétique constituant la majorité de ses ventes (environ 60%), il a réalisé un chiffre d’affaires de 2,2 milliards d’euros en 2020, dont 65 % à l’international.
Très rapidement, moins de 24 heures après l’attaque, Pierre Fabre avait indiqué que la propagation du virus informatique avait été stoppée, et que les opérations de remédiation avaient démarré pour permettre un retour progressif à la normale. Mais, à l’époque, l’entreprise n’avair pas communiqué sur l’origine de la cyberattaque. Le groupe REvil (également appelé Sodinokibi ou Sodin) l’a depuis revendiqué, selon une information du site Bleepingcomputer. Selon Trend Micro, Revil est une opération de ransomware-as-a-service (RaaS).
Revil fonctionne avec des affiliés triés sur le volet
« Le service est vendu à un faible nombre d’affiliés non-anglophones, par le biais de quelques forums cybercriminels russophones« , précise l’expert en cybersécurité. « Ces affiliés sont triés notamment en fonction de leur capacité à compromettre des réseaux d’entreprise et les infecter. »
En effet, les rémunérations des cybercriminels distribuant et contrôlant le service REvil sont constituées par un partage des rançons récoltées par les affiliés. Trend Micro précise que ces affiliés sont souvent « des structures attaquantes complètes composées de plusieurs personnes spécialisées en compromission de serveurs« .
La demande de rançon la plus conséquente associée à cette organisation est établie à 42 millions de dollars, pour la compromission du cabinet d’avocats américain Grubman Shire Meiselas & Sacks en mai 2020. Pour pierre Fabre, le gang aurait demandé une rançon de 25 millions de dollars, soit presque 21 millions d’euros. Aucune répnse de la victime n’ayant été reçu, les ataquants auraient doublé la demande, exigeant une rançon de 50 millions de dollars.
Parmi les données prétendument volées à Pierre Fabre figurent des images de passeports, des contacts de l’entreprise ou encore des cartes d’identité.
Pierre Fabre a, début avril, porté plainte contre X auprès du parquet de Castres pour « introduction frauduleuse de données dans un système de traitement automatisé ».
