Mount Royal University confirme une attaque par rançongiciel ayant volé puis effacé 10 To de données d'étudiants et de personnel
L'université Mount Royal, à Calgary, a confirmé qu'un groupe de rançongiciel se faisant appeler CMD Organization s'était introduit dans son stockage de fichiers partagé, avait exfiltré des données appartenant à des étudiants et employés actuels et anciens, puis avait délibérément effacé les fichiers d'origine pour entraver toute restauration.
- Victime
- Mount Royal University
Le 7 juillet 2026, Mount Royal University — université publique de premier cycle de Calgary, en Alberta, qui compte environ 15 000 étudiants — a confirmé qu'un groupe de rançongiciel s'était introduit dans son stockage de fichiers partagé, avait dérobé des données appartenant à des étudiants et employés actuels et anciens, puis avait délibérément effacé les fichiers d'origine afin de perturber toute restauration. L'université indique avoir détecté l'intrusion pour la première fois le 17 juin 2026 et avoir aussitôt mobilisé ses équipes techniques internes ainsi que des experts externes en cybersécurité pour enquêter et contenir l'incident.
Les attaquants ont visé le « lecteur H » de l'université — un stockage partagé utilisé par le personnel et les étudiants pour leurs fichiers de travail personnels — qui contenait des informations concernant des membres actuels et anciens de la communauté. Un « lecteur J » distinct, utilisé pour les fichiers des départements, a également été effacé, même si l'université affirme n'avoir aucune preuve que les données qu'il contenait aient été consultées avant leur suppression. La tactique du « voler puis détruire » vise à priver les victimes de leurs propres copies, accentuant la pression pour payer là même où des sauvegardes auraient pu permettre une restauration propre.
Un nouveau groupe d'extorsion au modèle d'enchères
L'attaque a été revendiquée par CMD Organization, une opération relativement récente dont les chercheurs en sécurité font remonter l'infrastructure à la fin mars 2026 et qui est apparue publiquement vers le mois de mai. Le groupe se distingue en intégrant une plateforme d'enchères en cryptomonnaie directement à son site de fuite, transformant les données volées en un actif mis aux enchères plutôt que de dépendre uniquement d'une négociation privée avec la victime. Pour étayer sa revendication contre MRU, le groupe a publié des scans de passeports comme preuve et fixé un délai d'environ une semaine pour payer près de 30 bitcoins — soit environ 1,9 million de dollars — avant de vendre aux enchères les données volées au plus offrant, une demande qui représenterait près de quatre fois la moyenne du groupe. Les analystes décrivent CMD Organization comme un acteur à la maturité opérationnelle limitée, s'appuyant fortement sur des outils sous-traités et des courtiers en accès initial, l'hameçonnage étant jugé le vecteur d'entrée le plus probable.
Réponse et la question de la couverture des étudiants
Mount Royal University a indiqué avoir commencé à notifier directement les personnes dont les dossiers ont été touchés et proposer deux ans de surveillance du crédit et de protection contre l'usurpation d'identité à l'ensemble de ses employés actuels et à toute personne ayant travaillé pour l'établissement au cours des cinq dernières années. Cette offre a suscité des critiques car elle ne s'étend pas aux étudiants, dont les fichiers universitaires et personnels se trouvaient sur ce même lecteur H compromis. Au moment de la confirmation, l'université n'avait pas indiqué si elle comptait payer la rançon et, les données étant déjà détruites et l'échéance de l'enchère approchant, l'incident demeurait non résolu.
Impact financier
Coûts déclarés en USD
Chronologie
Mount Royal University détecte une intrusion sur son réseau ; les attaquants volent des données d'un stockage de fichiers partagé et effacent les fichiers d'origine.
L'université confirme publiquement l'attaque par rançongiciel ; CMD Organization revendique l'attaque, publie des scans de passeports comme preuve et exige environ 30 bitcoins (près de 1,9 million de dollars).
Des articles relèvent que MRU propose deux ans de surveillance du crédit à ses employés actuels et récents, mais pas aux étudiants dont les fichiers se trouvaient sur le même lecteur compromis.
Sources
- bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/mount-royal-university-confirms-breach-as-hackers-claim-attack/
- securityweek.comhttps://www.securityweek.com/mount-royal-university-confirms-data-stolen-in-ransomware-attack/
- scworld.comhttps://www.scworld.com/brief/mount-royal-university-hit-by-ransomware-attack-data-stolen-and-deleted
- comparitech.comhttps://www.comparitech.com/news/cybercriminals-say-they-hacked-mount-royal-university-demand-ransom/
- cbc.cahttps://www.cbc.ca/news/canada/calgary/mru-cyberattack-personal-data-9.7261930
- labs.beazley.securityhttps://labs.beazley.security/articles/cmd-organization-new-ransomware-operator-moves-to-place-public-bidding-wars-on-ransomed-data