Ransomware : Bolloré Transport & Logistics allonge la liste des victimes de NetWalker

Le groupe Bolloré a fait son apparition sur le blog des opérateurs du ransomware NetWalker dans le courant de ce week-end. L’incident remonte en fait à la mi-mai, mais il ne semble pas concerner tant le groupe que l’une de ses multiples filiales.

De fait, dans un communiqué diffusé au Congo le 19 mai, Bolloré Transport & Logistics RDC indique avoir « été la cible d’une cyberattaque de type rançongiciel sur une partie de ses serveurs », le 14 mai. Plus loin, l’entreprise indique avoir « immédiatement pris des mesures de protection spécifiques afin d’arrêter la propagation du rançongiciel.

La société a fait appel à des experts externes en cybercriminalité qui épaulent actuellement les équipes informatiques internes 24h/24. Des investigations sont en cours afin d’évaluer la nature des informations qui auraient pu être rendues accessibles à des tiers ». Et d’ajouter avoir déposé plainte en RDC, tout en s’engageant à « agir en toute transparence vis-à-vis de nos partenaires, clients et fournisseurs sur les résultats » des investigations engagées.

À ce jour, la communication publique de Bolloré se limite à cela. Mais ses attaquants ont commencé à présenter des captures d’écran donnant, selon eux, un aperçu des données dérobées à l’occasion de leur intrusion. Là, certains fichiers semblent dater de 2009 tandis que les plus récents remontent au 13 mai dernier. Les cyberdélinquants semblent décidés à divulguer les données volées le 31 mai.

Le ransomware NetWalker, aussi appelé MailTo, a été découvert à la fin de l’été dernier. Mais il s’est fait remarquer, dans le monde de l’entreprise, au début du mois de février, après la compromission de l’Australien de la logistique Toll Group – lequel, accessoirement, a été victime, début mai, d’un second rançongiciel, Nefilim. Les opérateurs de ces deux maliciels comptent parmi ceux qui menacent de divulguer des données volées à l’occasion de l’intrusion ayant précédé la détonation du ransomware. Mais Brett Callow, chez Emsisoft, souligne une spécificité de NetWalker : ses opérateurs ne précisent pas quelle quantité de données ils ont volée. Dès lors, certaines victimes peuvent céder au chantage alors même qu’aucune donnée sensible n’a été collectée.

Actuellement, NetWalker fait partie des maliciels distribués en surfant sur la vague de la pandémie de Covid-19. Depuis la fin du mois d’avril, leur nombre a considérablement reculé, selon les statistiques du Malware Bazaar. Il y a encore un peu plus d’un mois, c’était AgentTesla qui était le plus représenté parmi les maliciels distribués en utilisant ce thème. Mais depuis peu, ce cheval de Troie apparaît dépassé par Loki, un autre cheval de Troie, spécialisé dans les données bancaires.

Fin mars, Joshua Deacon et Lloyd Macrobon, de Trustwave, relevaient que NetWalker avait été notamment distribué sous la forme de pièce jointe à des e-mails de hameçonnage – un fichier .vbs. Plus récemment, les équipes de Microsoft ont indiqué que « des opérateurs de campagne ont également compromis des réseaux en utilisant des applications IIS mal configurées pour lancer Mimikatz et voler des identifiants, utilisés ensuite pour lancer PsExec, et enfin déployer le ransomware NetWalker ».

Ces différences de modes opératoires sont cohérentes avec le modèle économique de NetWalker. Comme l’expliquait début avril le Cert espagnol, il s’agit d’un ransomware en mode service (RaaS) : des groupes différents, employant des modes opératoires spécifiques, sont donc susceptibles d’intervenir dans la distribution du rançongiciel, travaillant main dans la main avec ceux qui, in fine, en assurent le pilotage.