FR
FR EN DE
Accueil | Notre enquête sur l'attaque du ransomware Harvest [Flash Report] (en anglais)

Notre enquête sur l'attaque du ransomware Harvest [Rapport Flash]

Orlaith Traynor

4 min lire - 16 avril 2025

Ce blog est un résumé de notre dernier rapport flash "Harvest Ransomware Attack". Vous souhaitez lire ce rapport en tant que non client ? Contactez-nous pour accéder à ce rapport. contenu.

Que s'est-il passé à Harvest SAS ?

Harvest, une entreprise française de fintech, a été la cible d'une attaque par ransomware réalisée par le groupe émergent Faire circuler des marchandises.

RécolteFondée en France, la société Fintech est une entreprise de premier plan dont le siège se trouve à Paris. L'entreprise est spécialisée dans la création et la conception de solutions numériques et de logiciels adaptés aux professionnels de la gestion de patrimoine. Harvest se concentre sur le développement de plateformes qui rationalisent la gestion d'actifs, la construction de portefeuilles et l'analyse financière. Leurs services comprennent des logiciels de gestion de patrimoine, des outils de CRM d'actifs, et d'autres solutions liées aux procédures de souscription de comptes et de gestion de produits.

Harvest a construit un solide portefeuille de plateformes et de services numériques, soutenant des secteurs tels que la finance, l'immobilier et la technologie. Leur offre comprend des solutions de référence pour la gestion de patrimoine, de puissants outils de gestion d'entreprise et des solutions optimales pour l'analyse et la construction d'offres financières.

Aperçu de la violation de données de Harvest SAS à ce jour

Le 10 avril 2025, le groupe Run Some Wares a revendiqué la responsabilité de la compromission de l'entreprise française de logiciels Harvest SAS via son site web, harvest[.]eu.

L'attaque a été détectée le 27 février, mais a été signalée pour la première fois le 10 avril, lorsque Harvest a annoncé qu'elle avait subi un "cyberincident" affectant ses systèmes internes. Presque immédiatement, les analystes en cybersécurité ont commencé à établir un lien entre la violation et Run Some Wares, qui a ensuite revendiqué la responsabilité de l'attaque par l'intermédiaire de l'un de ses sites de fuites sur le dark web.

Capture d'écran d'une publication de Run Some Wares relative à la fuite Group Harvest.

Dans les jours qui ont suivi la violation, Run Some Wares a publié le nom de Harvest sur son site de fuite, ainsi qu'un échantillon des fichiers volés. Il s'agit notamment de documents internes et de données relatives aux clients. Aujourd'hui, le groupe a rendu publique l'étendue complète de la fuite de données.

Qu'est-ce qui a été exposé dans cette brèche ?

L'attaque du ransomware Harvest a entraîné l'exfiltration et l'exposition d'un large éventail de données d'entreprise hautement sensibles, ce qui a eu un impact sur presque tous les aspects des opérations de l'entreprise. Les attaquants ont utilisé une double tactique d'extorsion, en chiffrant les systèmes internes et en volant les données pour les rendre publiques.

La structure de répertoire divulguée indique que les éléments suivants ont été compromis :

  • Opérations commerciales de base : Dossiers tels que 0. RÉCOLTE/, Projets en cours/, Agile/et SCRUM/ suggérer l'exposition de plans de projet, de documents stratégiques, de notes de réunion et d'organigrammes.
  • Données financières et comptables : Des annuaires comme Comptabilité & Paye/, Compta & DEV & QA & Conception/et Back Office & Qualité/ contiennent probablement des documents comptables, des données salariales et des dossiers d'assurance qualité.
  • Dossiers des ressources humaines et du personnel : Dossiers étiquetés DSI & RH/, RH/, Personnel et confidentiel/La présence d'adresses électroniques d'employés, d'annuaires et de répertoires portant leur nom indique que des contrats de travail, des évaluations, des informations salariales et d'autres documents sensibles relatifs aux ressources humaines sont exposés.
  • Références et clés de chiffrement : Des annuaires tels que Clés de chiffrement BDD/, Clés de chiffrement Veeam/, KeyPass/, garder/et mdp/ indiquent la compromission de coffres-forts de mots de passe, de clés de chiffrement et d'informations d'identification internes, ce qui représente un risque important pour l'ensemble de l'infrastructure.
  • Documentation juridique et réglementaire : Les dossiers tels que Juridique & Comptabilité/, Finance & Juridique/et CONFIDENTIEL - VALUANCE/ suggérer l'accès aux dossiers juridiques, aux contrats, aux audits internes et aux documents relatifs à la conformité ou aux transactions d'entreprise.
  • Actifs techniques et de développement : La présence de Machine - Apprentissage profond/, IA Générative/, SQL Server Management Studio/et oracle.sqldeveloper.* indique l'exposition potentielle du code source propriétaire, des modèles d'IA, des scripts et des configurations d'infrastructure.
  • Données de tiers et de clients : De nombreux dossiers font référence à des partenaires et clients externes, ce qui augmente le risque d'impact en aval.
  • Communications internes : Des archives de courriels et des fichiers de communication interne ont également été divulgués, augmentant le risque d'hameçonnage ciblé et d'ingénierie sociale.

Un aperçu des acteurs de la menace : Qui est Run Some Wares ?

Capture d'écran du site de ransomware du groupe sur TOR. Source : rapport Flash de CybelAngel : Rapport Flash de CybelAngel.

Run Some Wares, l'acteur de la menace à l'origine de la récente violation de Harvest, est un groupe de ransomware relativement nouveau mais qui émerge rapidement.

Ils sont également connus pour les caractéristiques suivantes :

  • Adoption du modèle de la double extorsion (cryptage des données et menace de fuites publiques)
  • Utilisation de plusieurs sites .onion pour divulguer des données volées et négocier des rançons
  • Pas de schéma de ciblage fixe, mais des attaques fréquentes contre les secteurs de la finance et de l'industrie manufacturière

Run Some Wares opère principalement sur le dark web, en s'appuyant sur des sites de fuites dédiés pour publier les données des victimes et faire pression sur les organisations pour qu'elles versent des rançons. Leur infrastructure se distingue par sa maturité opérationnelle, avec des sites actifs qui hébergent déjà des données sensibles de victimes du monde entier.

Les analystes de CybelAngel et d'autres observateurs du secteur ont constaté que Run Some Wares, malgré son émergence récente, a rapidement établi une portée mondiale. Ses attaques couvrent plusieurs régions et secteurs d'activité, avec pour objectif de maximiser l'impact et la visibilité.

Depuis avril 2025, Run Some Wares a revendiqué la responsabilité de cinq attaques majeures :

  • Moisson (France): Une société fintech de premier plan spécialisée dans les logiciels de gestion de patrimoine. La faille a été découverte en avril.
  • Donna G. Rogers (États-Unis): Un cabinet comptable visé fin février.
  • Thai Metal Aluminium Co (Thaïlande): Une entreprise manufacturière attaquée en février.
  • F&V Capital Management (États-Unis): Une société de services financiers visée en février.
  • Gilbert (USA): Une entreprise de la chaîne d'approvisionnement, la faille ayant été découverte à la fin du mois de février.

Bon à savoir

Savez-vous si vous avez été touché par cette fuite ? CybelAngel peut vous aider de la détection à la remédiation. Dans le cadre de notre Surveillance du Dark Web nous analysons TOR, I2P, Discord, Telegram et IRC, entre autres plateformes, afin de garantir la sécurité de vos données.

Prendre contact

Si vous n'êtes pas client mais que vous souhaitez avoir une vue d'ensemble de cet acteur de la menace, vous pouvez obtenir l'accès à ce rapport en nous contactant.

Nous contacter