Les serveurs de la filiale transport et logistique du groupe Bolloré en RDC ont été victimes d’une cyberattaque d’un virus informatique Ransomware de Netwalker. La publication de cette information est faite par Bolloré 3 jours après la cyberattaque survenue le 14 Mai. Il a fallu que Bolloré fasse recours à des spécialistes en cybercriminalité pour renforcer son équipe d’informaticiens pour bloquer le parcours de ce virus dans ses serveurs.
Les ransomwares ou rançonlogiciels sont des logiciels informatiques malveillants dont la mission est de prendre les données d’un serveur en otage. Ils fonctionnent selon le principe suivant : chiffrer et bloquer les données d’un serveur et réclamer une rançon en échange d’une clé de déchiffrement. Encore appelé MailTo, le ransomware Netwalker a fait son apparition à la fin de l’été 2019. Sa première attaque au sein des entreprises survient en début février 2020, avant celle de Nefilim dans l’entreprise australienne Toll group au début du mois de mai.
Les cybercriminels après leur intrusion dans les serveurs de Bolloré, ont publié les preuves de leur forfait comprenant des captures d’écran des fichiers de comptabilité et de facturation des clients, fournisseurs locaux et internationaux de Bolloré de 2010, et ceux de mi-mai 2020. Ces données ont été publiées sur le réseau de TOR. Ils ont menacé de publier la totalité des données volées le 31 Mai si une rançon dont le montant n’a pas été rendu public, n’était pas versée. Sur le site où les preuves ont été publiées, un compte à rebours d’une semaine a été donné au groupe Bolloré. Mais le retrait du compte à rebours le 24 Mai (preuve plausible que Bolloré a payé la rançon), a révélé le montant qui serait le double du coût total d’un rançonlogiciel d’après le Parisien.
Netwalker ne procède pas comme tous les autres malwares. Habituellement, les rançonlogiciels après avoir infiltré le système et volé les données menacent de publier les informations dérobées. La particularité de Netwalker est de ne pas dévoiler la quantité de données volées. Ainsi, il peut faire chanter une entreprise sans toutefois détenir en réalité des informations la concernant. Le mode opératoire de déploiement diffère en fonction du groupe qui est l’auteur de cette propagation.
Par exemple, à la fin du mois de mars, des experts de Trustwave ont remarqué que la transmission de Netwalker se faisait sous forme de fichier à extension .vbs joint aux emails de hameçonnage (technique de piraterie informatique). Microsoft a récemment mis en évidence un autre mode de déploiement de Netwalker qui consiste à executer PsExec à partir des identifiants dérobés grâce à Mimikatz. Son exécution est assurée par des applications IIS mal paramétrées.
Bolloré vient ainsi compléter la liste des entreprises et organisations victimes de cybercriminalité. Parmi elles figurent Bouygues Construction, le CHU de Rouen, la métropole de Marseille pour ne citer que ceux là. La pandémie à Covid-19 est actuellement le thème à travers lequel la plupart des maliciels sont distribués : Netwalker, Agent Tesla, Loki. L’urgence pour les entreprises et organisations est de renforcer la sécurité de leurs données en renforçant les compétences de leur experts informaticiens en cybersécurité.