Une filiale du groupe Bolloré touchée par un ransomware inflexible

La plainte est tombée sur un blog Darknet ce week-end au milieu d’autres victimes d’entreprises en Italie ou en Autriche. Bolloré Transport & Logistics, filiale du groupe Bolloré, notamment en République démocratique du Congo (RDC), a été la cible des «ransomwares», c’est-à-dire des ransomwares appartenant au groupe NetWalker.

Les assaillants se sont infiltrés dans le réseau informatique et ont volé de grandes quantités de données dans une branche logistique en RDC. Mais rien n’exclut que le virus, spécialisé dans les grands réseaux d’entreprise, ne s’est pas propagé à d’autres entités.

Dans un communiqué de presse, la société a reconnu avoir été “la cible d’une cyber-attaque de type rançongiciel le 14 mai”.

Un exemple de fichiers en ligne

“Bolloré & Transport Logistics RDC a immédiatement pris des mesures de protection spécifiques pour arrêter la propagation des ransomwares.” L’incident a été “décrit”, insiste le groupe que nous avons contacté. Et de préciser: “Des études sont en cours pour évaluer la nature des informations qui auraient pu être mises à la disposition de tiers”.

Une partie de la réponse se trouve sur le réseau Internet alternatif de TOR. Les cybercriminels y ont publié des preuves de leurs actions avec des captures d’écran des fichiers de comptabilité et de facturation pour les clients et fournisseurs locaux et internationaux. Certains cas datent de 2010, mais les plus récents datent de la mi-mai.

Comme cela a été le cas depuis le début de cette année, les assaillants ont menacé de diffuser largement les données volées s’ils ne recevaient pas de rançon. Mais ils se distinguent, avec des détails douloureux, d’autres groupes cybercriminels, comme Maze, qui ont attaqué le groupe Bouygues Construction.

Une plainte a été déposée

«De manière unique, le site qui publie des fichiers volés est en mode automatique et avec compte à rebours. Une fois le décompte terminé, les données sont automatiquement publiées et accompagnées du mot de passe requis pour y accéder », explique Brett Callow, expert en cybersécurité chez Emsisoft.

Cela signifie que leur butin est déjà stocké en ligne sur un serveur prêt à être diffusé et un lien de téléchargement apparaîtra en cas de refus de paiement. Le non-traitement est la solution recommandée par les autorités en cas de cyberattaque, car rien ne garantit que les pirates respecteront leur part du contrat d’extorsion.

Dans le cas de Bolloré, le compteur a été fixé une semaine avant la publication des données. Bolloré & Transport Logistics a déposé une plainte en République démocratique du Congo. La note de rançon a finalement été supprimée du blog dimanche après-midi. L’entreprise aurait-elle payé? Une hypothèse plausible, selon les experts consultés.