Skip to content
hacker_posts

Somafix : le groupe Gunra revendique 10 Go de données exfiltrées

Le distributeur français de fixations Somafix apparaît le 29 mai sur le leak site du groupe Gunra, qui menace de publier les données sous 48 heures.

Publié le 5 min de lecture
fuiteransomwaregunrafranceindustrie

Le distributeur français Somafix, spécialisé dans la fourniture de fixations, outillage et équipements de protection pour le bâtiment et l'industrie, a été ajouté le 29 mai 2026 au leak site du groupe de rançongiciel Gunra. Les attaquants revendiquent l'exfiltration d'environ 10 Go de données internes et menacent de les publier dans les deux jours suivant la revendication — délai désormais expiré au moment où nous écrivons. La fiche d'alerte publiée sur FrenchBreaches le 29 mai et le compte-rendu de Cyberattaque.org confirment la présence de l'entreprise sur le portail Gunra ; la fiche victime côté observateurs est également visible sur ransomware.live.

Aucune communication publique de Somafix ne confirme à ce stade le périmètre exact des données concernées, ni l'éventuel paiement de rançon. Les revendications des opérateurs de RaaS sont régulièrement exagérées : à traiter comme un point de départ d'enquête, pas comme une preuve d'exfiltration.

Ce que dit la revendication

Sur la fiche Gunra, l'opérateur affirme :

  • Avoir 10 Go de données internes exfiltrées.
  • Menacer de publier l'intégralité dans un délai de deux jours.
  • Disposer d'un échantillon, comme c'est la pratique du groupe pour appuyer la négociation.

La nature des fichiers — bons de commande, fiches clients professionnels, données RH, comptabilité, identifiants techniques — n'est pas détaillée dans la revendication publique. Sans accès indépendant au leak site, il est impossible de confirmer le volume réel ni de qualifier la criticité des fichiers concernés.

Qui est Gunra

Gunra est apparu le 23 avril 2025 avec un leak site Tor de facture classique (recherche par secteur, échantillons proposés, compteur de délai). Le code du loader, analysé par Trend Micro, présente des similitudes nettes avec Conti, dont le code source avait fuité en 2022 et sert depuis de base à plusieurs successeurs. Le groupe a basculé en janvier 2026 vers un modèle RaaS ouvert avec recrutement d'affiliés sur les forums underground et des builders Windows, Linux, ESXi et NAS fournis. Au 9 mars 2026, 32 victimes revendiquées étaient consolidées par les observateurs publics.

Côté méthode, CloudSEK documente :

  • Accès initial : identifiants VPN compromis (logs d'infostealers, courtiers du dark web), phishing ciblé.
  • Charge utile : ChaCha20 pour les fichiers, RSA-2048 pour la clé, extension .ENCRT, note de rançon R3ADM3.txt.
  • Anti-forensique : suppression des copies fantômes via WMI, anti-debug, injection dans des processus signés.
  • Délai de négociation : cinq jours, au-delà duquel les données sont mises en ligne.
  • Demandes de rançon observées dans la fourchette 7 à 10 millions de dollars pour les victimes les plus visibles, montant rarement aligné sur la taille réelle de l'organisation.

Que faire si vous êtes client professionnel de Somafix

  1. Considérez vos coordonnées de facturation comme exposées : raison sociale, SIRET, contacts comptables, RIB éventuellement présent dans les pièces jointes échangées avec Somafix sont des éléments qui se retrouvent typiquement dans une exfiltration de ce type. Les fraudes au faux fournisseur — courriel imitant le service comptable de Somafix pour signaler un changement de RIB — sont la suite logique d'une fuite chez un distributeur B2B.
  2. Verrouillez vos procédures de changement de RIB côté service achats. Toute modification doit être confirmée par téléphone via les coordonnées officielles connues, jamais via celles fournies dans le courriel demandant le changement.
  3. Si vous échangez des accès techniques avec Somafix (intégrations EDI, comptes prestataires, partages de documentation), partez du principe qu'ils sont compromis tant que le distributeur n'a pas communiqué sur le périmètre. Rotation des identifiants partagés, MFA activé si ce n'est pas déjà le cas.

Que faire si vous opérez une PME industrielle

  1. VPN d'accès distant : MFA obligatoire, immédiatement. Gunra et la majorité des affiliés RaaS actifs en 2026 entrent par des comptes VPN sans deuxième facteur, alimentés par les logs d'infostealers vendus à bas coût. Sans MFA, un mot de passe collecté il y a six mois sur un poste contaminé suffit.
  2. Sauvegardes immuables ou hors ligne, et testées. Une sauvegarde accessible depuis la session d'un administrateur SI est une sauvegarde que le rançongiciel chiffre aussi. La règle 3-2-1 minimale ; les copies immuables sont aujourd'hui la dernière ligne de défense crédible.
  3. Notification CNIL si données personnelles dans les fichiers exfiltrés : 72 heures à compter de la prise de connaissance. La fiche CNIL du 27 mai 2026 sur le rôle du sous-traitant cadre la chaîne de notification quand des partenaires sont impliqués.
  4. Préparez la communication clients avant d'en avoir besoin. Le silence d'un fournisseur après une attaque revendiquée publiquement laisse le champ libre aux acteurs qui exploiteront son nom pour des campagnes de phishing.

Contexte

Somafix s'ajoute à une série visible de distributeurs et PME industrielles françaises revendiqués par des opérateurs de rançongiciel ces dernières semaines — la mairie d'Eyguières par Qilin le 22 mai sur le segment public, Optic 2000 avec ses 8 000 factures exposées chez AplaGroup sur le retail, et désormais Somafix sur le B2B industriel. Le ciblage n'est ni sectoriel ni géographique : Gunra revendique au même rythme une PME italienne, un cabinet de Hong Kong ou une entreprise d'Amérique latine, en fonction de ce que ses affiliés rapportent.

Le démantèlement de First VPN en mai par l'opération Saffron a coupé une infrastructure utilisée par plusieurs affiliés de RaaS, sans interrompre le flux des revendications. Tant que la chaîne d'entrée — identifiants VPN sans MFA, postes contaminés par infostealer, comptes prestataires non révoqués — reste ouverte, le nom du groupe en bas du leak site change, le périmètre des victimes pas.

Articles liés