Le bureau du procureur général de Virginie a été frappé par une cyberattaque en février, forçant une fermeture des systèmes informatiques et une réversion aux documents de papier. Le groupe de ransomware Cloak revendique désormais la responsabilité, se vantant de voler 134 Go de données sensibles.
Le bureau du procureur général de Virginie a dû fermer ses systèmes informatiques, y compris le courrier électronique et le VPN après avoir souffert de ce que le chef du député AG Steven Popps a décrit comme une «attaque sophistiquée». La violation, détectée en février, a déclenché des notifications à la police du FBI, à la police de l’État de Virginie et à la Virginia Information Technologies Agency.
Le 20 mars 2025, Cloak a ajouté le bureau du procureur général de Virginie à sa liste de victimes sur son site de fuite de Tor. Le groupe a annoncé qu’avec la période d’attente terminée, l’ensemble des archives de 134 Go de données volées est désormais disponible en téléchargement, après avoir initialement publié uniquement des captures d’écran comme preuve.
Des enquêtes sont toujours en cours pour déterminer l’étendue et la source de cette violation.
Bravo de données T-Mobile: ils vous doivent de l’argent – voici comment les réclamer
Actif depuis au moins 2023, Cloak aurait compromis plus d’une centaine d’organisations, ciblant souvent les petites à des entreprises de taille moyenne, principalement en Europe, en particulier l’Allemagne et a étendu ses opérations à des pays d’Asie. Les secteurs ciblés sont des soins de santé, de l’immobilier, de la construction, de l’informatique, de la nourriture et de la fabrication.
«Crape cible principalement les petites et moyennes entreprises d’Europe, avec l’Allemagne comme un objectif clé. Le groupe a prolongé ses opérations aux pays en Asie et cible divers secteurs, notamment les soins de santé, l’immobilier, la construction, l’informatique, la nourriture et la fabrication. Comme des mises à jour légitimes comme les installateurs de Microsoft Windows », déclare Alcyon.
Le groupe infiltre les réseaux en achetant un accès à partir des courtiers d’accès initiaux (IAB) ou en utilisant des tactiques d’ingénierie sociale, telles que des campagnes de phishing et des publicités malveillantes. Ces méthodes impliquent souvent des kits d’exploitation et des téléchargements de lecteur déguisés en mises à jour logicielles légitimes, y compris les faux installateurs de Microsoft Windows.
Une fois à l’intérieur d’un réseau, Cloak utilise une variante de ransomware d’arcrypter, dérivée de la Code divulgué de Babukpour crypter les fichiers.
