Le ransomware Gentlemen frappe Soja de Portugal et divulgue 491 Go de données

Le ransomware Gentlemen frappe Soja de Portugal et divulgue 491 Go de données

Le groupe de ransomware Gentlemen a revendiqué une attaque contre Soja de Portugal, l'une des principales entreprises agricoles du Portugal, entraînant l'exposition de 491 Go de données sensibles d'entreprise. Selon un article publié par DeXpose, les données compromises incluent des enregistrements du système SAP, des informations sur les employés et des documents financiers. L'article source porte la date du 4 juin 2026, ce qui semble être soit une erreur de reportage, soit une publication datée dans le futur ; les lecteurs doivent noter que l'exactitude factuelle de cette date précise ne peut être confirmée de manière indépendante, bien que plusieurs sources de renseignement sur les menaces aient corroboré la violation elle-même comme un événement récent.

Cet incident s'ajoute à une liste croissante d'attaques attribuées aux Gentlemen, une opération de ransomware-as-a-service qui, selon les chercheurs, est apparue publiquement au second semestre 2025 et a depuis revendiqué des centaines de victimes dans de nombreux secteurs et pays.

Qui sont les Gentlemen et pourquoi sont-ils efficaces ?

Le groupe Gentlemen fonctionne comme une plateforme de ransomware-as-a-service (RaaS), ce qui signifie que les développeurs principaux concèdent sous licence leur logiciel malveillant et leur infrastructure à des attaquants affiliés qui mènent des campagnes individuelles. Ce modèle abaisse la barrière à l'entrée pour les cybercriminels et rend l'attribution plus complexe pour les enquêteurs.

Ce qui distingue ce groupe des opérations de ransomware plus anciennes, c'est leur recours systématique à la double extorsion : ils chiffrent les données de la victime et les exfiltrent avant de déclencher le chiffrement. Cela signifie que même les organisations disposant de solides procédures de sauvegarde sont confrontées à une seconde menace : la divulgation publique ou la vente des données volées si la rançon n'est pas payée. Dans le cas de Soja de Portugal, le groupe semble avoir mis cette menace à exécution, 491 Go ayant été publiés ou rendus accessibles via leur infrastructure de fuite.

Les chercheurs ont noté que la boîte à outils des Gentlemen cible Windows, Linux, les hyperviseurs ESXi et les périphériques NAS, ce qui les rend capables de perturber un large éventail d'environnements professionnels, des réseaux de bureau traditionnels aux centres de données virtualisés.

Quelles données ont été exposées et pourquoi c'est important

Les catégories de données concernées par la violation de Soja de Portugal méritent un examen attentif. Les données SAP sont particulièrement significatives : SAP est une plateforme de planification des ressources d'entreprise (ERP) utilisée par les grandes organisations pour gérer tout, des chaînes d'approvisionnement et des achats à la paie et à la comptabilité. Une violation des données SAP peut exposer les contrats fournisseurs, les structures de prix, les prévisions financières internes et les détails de la rémunération des employés, le tout en un seul endroit.

Les dossiers des employés, une autre catégorie confirmée dans cette violation, incluent généralement les noms, les numéros d'identification, les coordonnées et parfois les informations bancaires pour la paie. Lorsque ces données fuient, cela crée des risques en aval pour les travailleurs individuels, et pas seulement pour l'organisation elle-même.

Cette tendance à cibler les systèmes d'entreprise n'est pas propre à cette attaque. Des incidents similaires, comme l'attaque du ransomware Play contre Ampex Data Systems, ont montré comment les attaquants privilégient les réserves de données à haute valeur, y compris les informations personnelles identifiables des employés et les dossiers financiers, précisément parce qu'elles offrent à la fois un levier de rançon et une valeur de revente sur les marchés criminels.

Les entreprises agricoles et manufacturières sont des cibles de plus en plus attrayantes car elles utilisent souvent un mélange de technologies opérationnelles héritées et de logiciels d'entreprise modernes, créant des surfaces d'attaque plus vastes et moins uniformes que les organisations qui ont construit leur infrastructure plus récemment.

Pourquoi la sécurité périmétrique seule ne suffit pas

L'une des leçons les plus importantes à tirer d'incidents comme celui-ci est que les défenses périmétriques traditionnelles – pare-feux, logiciels antivirus et surveillance réseau – sont nécessaires mais insuffisantes. Le groupe Gentlemen et les opérations similaires sont connus pour obtenir un accès initial via des campagnes de phishing, des ports RDP (Remote Desktop Protocol) exposés et des identifiants compromis. Une fois à l'intérieur d'un réseau, ils se déplacent latéralement, souvent pendant des jours ou des semaines, avant de déployer le ransomware.

C'est pourquoi les professionnels de la sécurité préconisent de plus en plus une approche de la sécurité organisationnelle par couches. Parmi les couches les plus efficaces, on trouve :

• Accès réseau zéro confiance : Plutôt que de faire confiance à tout appareil ou utilisateur à l'intérieur du périmètre réseau, l'architecture zéro confiance exige une vérification continue de l'identité et de l'état de l'appareil avant d'accorder l'accès à une ressource.
• Accès distant chiffré : Les VPN et outils similaires protègent les données en transit et réduisent le risque d'interception des identifiants sur des connexions non protégées, en particulier pour les travailleurs distants et hybrides accédant à des systèmes sensibles.
• Segmentation du réseau : Isoler des systèmes comme SAP des postes de travail des employés limite la capacité d'un attaquant à se déplacer latéralement après avoir pris pied.
• Détection et réponse sur les terminaux (EDR) : Contrairement aux antivirus traditionnels, les outils EDR surveillent les anomalies comportementales pouvant indiquer qu'un attaquant opère à l'intérieur du réseau, avant même le déploiement d'un malware.

L'attaque du ransomware ChipSoft aux Pays-Bas a illustré un schéma de défaillance similaire : les attaquants ont pu accéder et exfiltrer de gros volumes de données parce que les systèmes internes n'étaient pas suffisamment segmentés et que les contrôles d'accès n'étaient pas assez granulaires pour contenir la violation une fois l'entrée initiale réalisée.

Ce que cela signifie pour vous

Que votre organisation soit une multinationale ou une entreprise régionale comme Soja de Portugal, le calcul des risques a changé. Les groupes de ransomware dotés de modèles RaaS peuvent déployer des attaques à grande échelle, ciblant tout secteur où des données de valeur existent. Les entreprises agricoles, les sociétés de logistique et les fabricants n'ont peut-être pas historiquement considéré qu'elles étaient des cibles de grande valeur, mais les données qu'elles détiennent dans leurs systèmes ERP et RH racontent une autre histoire.

Voici des mesures concrètes que les organisations peuvent prendre pour réduire leur exposition :

• Auditez les points d'accès distants : Identifiez tous les services exposés sur Internet, en particulier les passerelles RDP et VPN, et assurez-vous qu'ils sont sécurisés par une authentification multifacteur et des identifiants régulièrement mis à jour.
• Mettez en œuvre le principe du moindre privilège : Les employés et les systèmes ne doivent avoir accès qu'aux données et applications dont ils ont réellement besoin. Des droits d'accès étendus accélèrent les déplacements latéraux après une brèche.
• Testez vos sauvegardes : Les sauvegardes hors ligne ou immuables sont une défense essentielle contre les ransomwares basés sur le chiffrement, mais seulement si elles sont régulièrement testées et que leur restauration est confirmée.
• Classification des données et chiffrement au repos : Savoir quelles données sont les plus sensibles et s'assurer qu'elles sont chiffrées, même lorsqu'elles sont stockées en interne, limite la valeur des fichiers exfiltrés pour les attaquants.

La violation de Soja de Portugal est une étude de cas utile non pas parce qu'elle est exceptionnelle, mais parce qu'elle est de plus en plus typique. Alors que les attaques par ransomware continuent d'exposer de grands volumes de données d'entreprise dans tous les secteurs, les organisations qui s'en sortent le mieux sont celles qui traitent la sécurité comme un processus continu plutôt que comme un investissement ponctuel. Revoir dès maintenant vos contrôles d'accès, votre architecture réseau et votre plan de réponse aux incidents est nettement moins coûteux que de gérer une fuite de 491 Go de données après coup.