Ransomware NetWalker : la piste Fortinet chez Rabot Dutilleul

Les cyber-délinquants aux commandes de ransomware viennent de faire une nouvelle victime dans le monde du BTP en France : Rabot Dutilleul. Dans un communiqué de presse publié sur son site Web le 23 juillet dernier, le groupe explique qu’une « attaque virale de type rançongiciel a été détectée par [son] réseau informatique le 22 juillet 2020 sur une partie de l’infrastructure hébergée en France ». Et d’assurer que « le service informatique a immédiatement pris des mesures de protection destinées à stopper la propagation du rançongiciel ».

Ce ransomware semble n’être autre que NetWalker. Du moins ses opérateurs revendiquent-ils l’opération sur leur blog, menaçant de divulguer des données dérobées au passage d’ici à la mi-août, si aucun accord n’est trouvé pour la rançon demandée. Selon nos confrères de La Voix du Nord, les cyber-délinquants réclamentquelques 973 bitcoins, soit près de 8 M€. Les captures d’écran présentées par les cyber-truands font ressortir des données allant de 2015 à 2020.

Le groupe de BTP est client d’Office 365 de longue date. Ce qui pourrait peut-être jouer en sa faveur pour reprendre des activités normales. Rabot Dutilleul est également utilisateur des systèmes Nutanix. Si ses équipes ont précautionneusement configurés leur déploiement, cet environnement pourrait constituer une aide précieuse, tant pour l’investigation que pour la reprise.

Reste à savoir par où sont entrés les assaillants. Le groupe BTP apparaît utiliser un système FortiGate de Fortinet pour permettre l’accès distant à ses ressources informatiques internes. Mais sa maintenance pourrait avoir laissé quelque peu à désirer : il semble être resté de nombreux mois affecté par une vulnérabilité sur l’exploitation de laquelle le Cert-FR alertait en fin d’été 2019 ; selon les données disponibles en sources ouvertes.

Las, ce système FortiGate ne semble avoir reçu les mises à jour correspondantes qu’en tout début de ce mois de juillet 2020. De quoi imaginer aisément que les assaillants aient pu s’inviter sur l’environnement avant cela, effectuer reconnaissance et déplacements latéraux nécessaires à une vaste prise de contrôle, avant de déclencher NetWalker la semaine dernière.