Le groupe de ransomware Cloak a revendiqué la responsabilité de la cyberattaque qui a frappé le bureau du procureur général de Virginie en février dernier. L’attaque a forcé les autorités à désactiver les systèmes informatiques, perturbant le fonctionnement de l’institution et exposant potentiellement des données sensibles.
En février 2025, une cyberattaque sophistiquée a été détectée au sein du bureau du procureur général de Virginie, provoquant l’arrêt immédiat des systèmes informatiques internes, y compris les services de messagerie et de VPN. Face à l’ampleur de la faille, les responsables ont dû revenir temporairement à des procédures manuelles, utilisant des documents papier pour assurer la continuité du service. Steven Popps, procureur général adjoint en chef, a décrit l’attaque comme « particulièrement complexe », soulignant le niveau de sophistication des techniques employées par les assaillants. L’incident a été immédiatement signalé au FBI, à la police d’État de Virginie et à l’Agence des technologies de l’information de Virginie (VITA), qui ont ouvert une enquête pour évaluer l’ampleur des dégâts et identifier la source de l’attaque.
Le bureau du procureur général de Virginie est resté très discret sur la nature exacte de la brèche, refusant de divulguer des détails précis sur les systèmes compromis ou les types de données potentiellement volées. Cependant, le 20 mars 2025, le groupe Cloak a ajouté le bureau du procureur général de Virginie à la liste de ses victimes sur son site de fuite hébergé sur le dark web. Le groupe a déclaré que le délai de négociation avec les autorités avait expiré et a affirmé avoir volé 134 Go de données sensibles lors de l’attaque.
Des captures d’écran de certains fichiers volés avaient été publiées comme preuve initiale du piratage. Désormais, l’ensemble des 134 Go de données est accessible en téléchargement sur la plateforme de fuite du groupe. La divulgation de ces fichiers fait craindre une potentielle exposition de documents juridiques sensibles, de communications internes, et d’informations confidentielles concernant des enquêtes en cours. Cette fuite massive pourrait avoir des conséquences majeures sur le fonctionnement du bureau du procureur général, tout en compromettant la sécurité des affaires traitées par l’institution.
Cloak : un groupe de ransomware organisé et expérimenté
Le groupe Cloak est actif depuis au moins 2023. Selon un rapport de la société de cybersécurité Halcyon, le groupe aurait déjà ciblé plus d’une centaine d’organisations, principalement en Europe et en Asie. L’Allemagne figure parmi les cibles privilégiées du groupe, mais les attaques se sont également étendues à d’autres pays, touchant divers secteurs économiques, notamment la santé, l’immobilier, la construction, l’informatique, l’agroalimentaire et la production industrielle. Cette diversification des cibles témoigne de la capacité d’adaptation du groupe et de la sophistication de ses méthodes d’attaque.
Le mode opératoire de Cloak repose en grande partie sur l’acquisition d’accès réseau par l’intermédiaire de courtiers d’accès initiaux (Initial Access Brokers, IAB) ou par des techniques d’ingénierie sociale. Les méthodes employées incluent le hameçonnage (phishing), les publicités malveillantes (malvertising), les kits d’exploitation de vulnérabilités et les téléchargements furtifs (drive-by downloads) déguisés en mises à jour légitimes de logiciels, comme les installateurs de Microsoft Windows. Cette capacité à manipuler le comportement des utilisateurs par des techniques psychologiques et technologiques rend les attaques particulièrement difficiles à détecter avant qu’elles ne soient en cours d’exécution.
Cloak utilise une variante du ransomware ARCrypter, dérivée du code source du ransomware Babuk, qui avait fuité en 2021. Une fois le réseau infiltré, le ransomware chiffre les fichiers sensibles, rendant leur accès impossible sans une clé de déchiffrement. Les attaquants exigent ensuite une rançon, souvent en cryptomonnaie, en échange de cette clé. Si la victime refuse de payer ou tarde à réagir, Cloak menace de divulguer publiquement les données volées sur le dark web, comme ce fut le cas dans l’attaque contre le bureau du procureur général de Virginie.
Une attaque qui soulève des questions sur la sécurité des institutions publiques
L’attaque contre le bureau du procureur général de Virginie met en lumière la vulnérabilité des infrastructures informatiques des institutions publiques face à des menaces cyber de plus en plus agressives. Les institutions gouvernementales, souvent dotées de systèmes informatiques vieillissants et de protocoles de sécurité obsolètes, sans parler de la mise à la porte de milliers de fonctionnaires aux USA par l’administration TRUMP, constituent des cibles privilégiées pour les groupes de ransomware. La capacité des attaquants à paralyser les opérations critiques du bureau du procureur général démontre le niveau de préparation et de sophistication de Cloak.
Les conséquences potentielles de cette attaque sont multiples. Outre la compromission des dossiers juridiques en cours, le vol de données pourrait entraîner une manipulation de certaines affaires sensibles. Les communications internes du bureau, y compris les stratégies de défense et les éléments à charge dans des procédures judiciaires, pourraient également être utilisées comme levier par des acteurs malveillants.
Steven Popps, procureur général adjoint, a déclaré que le bureau s’efforce de restaurer ses systèmes et de renforcer ses mesures de sécurité. Les autorités de Virginie collaborent étroitement avec le FBI et la police d’État pour identifier les auteurs de l’attaque et évaluer l’ampleur des dommages causés. Cependant, dans la mesure où Cloak opère depuis des juridictions étrangères, les possibilités d’arrestation ou de sanction directe restent limitées.