L'armateur CMA CGM frappé par une cyberattaque, un ransomware, encore ?

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 29 septembre 2020 à 13h06

La compagnie marseillaise a annoncé, lundi, avoir subi une attaque informatique endommageant ses serveurs périphériques, mettant à l'arrêt plusieurs services.

Dans un communiqué paru le lundi 28 septembre, le groupe CMA CGM a annoncé avoir été victime d'une cyberattaque ayant touché ses serveurs périphériques. Un coup dur pour l'armateur qui a été contraint, dans la foulée, d'interrompre les accès externes aux applications pour freiner la progression du logiciel malveillant diffusé pendant l'attaque. C'est un ransomware qui sèmerait une fois de plus la panique dans une grande entreprise mondiale.

Le message du groupe de hackers diffusé

CMA CGM a tout de suite tenu à être rassurant en indiquant que le cœur de son système informatique n'a pas été touché et qu'à l'aide de ses techniciens et d'experts indépendants, l'accès aux systèmes d'information « reprend progressivement ».

Alors que s'est-il passé pour la compagnie maritime d'affrètement basée à Marseille ? Selon plusieurs sites spécialisés dans la cybersécurité, capture d'écran à l'appui, le groupe est tombé dans le piège du ransomware Ragnar Locker, un logiciel de cryptage de données réputé pour se cacher dans une machine virtuelle, ce qui l'aide à échapper aux radars des logiciels de protection. Le groupe derrière le rançongiciel aurait pris contact avec le transporteur en le sommant de le contacter dans les deux jours via un canal dédié et de procéder au paiement de la rançon, pour obtenir la clé de décryptage des données ciblées.

Le message du groupe Ragnar Locker est on ne peut plus clair ! (© Lars Jensen / Lloyd's List)

Plusieurs filiales du groupe CMA CGM ont aussi été touchées : APL, basée à Singapour et qui dessert plus de 70 pays dans le monde ; ANL, spécialisée dans le transport de conteneurs sur toute la zone océanique ; et CNC Line, un leader du commerce intra-Asie. Les sites web des deux dernières citées, ainsi que ceux de CMA CGM, étaient indisponibles suite à l'attaque.

Un silence qui en dit long

CMA CGM, qui conseille à ses clients de contacter leur agence locale pour les réservations de conteneurs, continue de mener son enquête. Selon Lars Jensen, expert dans l'industrie du transport de conteneurs, les sites de la maison-mère et de ses filiales étaient toujours en panne ce mardi matin. Dans un post publié sur LinkedIn, le spécialiste souligne un certain défaut de communication proactive face à cette attaque. Un point soulevé par l'ANSSI au début du mois de septembre dans son guide visant à aider les victimes de ransomwares à anticiper les attaques et à réagir lorsqu'elles surviennent.

Le groupe maritime était censé communiquer à nouveau au plus tard lundi en fin de journée. Cela fait désormais plus de 24 heures que CMA CGM fait silence radio au sujet de l'attaque subie. Il y a un peu plus d'un mois, un autre acteur du secteur maritime, décidément très touché, fut la cible d'un ransomware. Le croisiériste Carnival avait ainsi vu une partie des données personnelles de ses 150 000 employés et des données de certains de ses clients être dérobées.

Source : CMA CGM, Lloyd's List

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Peter_Vilmen

Merci les cryptomonnaies encore une fois! Bein oui, les hackeurs ne vont pas demander une malette pleine de billets, ou bien un virement vers un compte courant à leur nom, ils ne sont pas idiots mdrrrrr

mang_kon_si_kaow

Ya qu’a voir comment ça se passe en interne et on peut comprendre la débandade. désolé mais moi ça me fait rire. Bien fait pour leur gueule.

Nmut

Comment un abus de faiblesse peut te réjouir? Le fait qu’ils soient à coté de la plaque niveau sécurité est plus un problème général (les données qui peuvent diffusées peuvent aussi impacter d’autre société ou des personnes).
Je ne pense pas que tu connaisses le domaine de l’IT, tu saurais que les couts et le temps de formation des utilisateurs sont énormes et que les moyens/compétences des pirates sont bien supérieurs (normal ça rapporte bien plus de pirater que de protéger).
Dans tous les cas, il est plus facile de trouver une faille que de combler celle-ci.

megadub

Si la CMA-CGM a un comportement discutable en interne, c’est quand même bien les salariés qui vont galérer avec cette m*rde donc… moi j’dis pas bien fait et je souhaite qu’ils arrivent à se débrouiller de cette affaire

Nicolas_Paille

Bonjour je suis d’accord avec Nmut .Les formations des utilisateurs sont longues et complexes.

mrassol

et les utilisateurs idiots (faut arreter de se voiler la face), tu leurs change un icone ils sont perdus, tu leur parle de sécurité ils rigolent, les michele01/michele02/… sont courants … meme a des hauts postes.

megadub

En l’occurrence, c’est une attaque sur les VM donc les peons ne sont pas responsables

stefane

Non, la VM, c’est sa méthode de dissimulation, mais ça peut aussi être sur le poste client, ou un serveur, et pas « les VM de l’IT »

"Dans le détail, le package malveillant est ainsi articulé autour d’une installation fonctionnelle d’un ancien hyperviseur Oracle VirtualBox (Sun xVM VirtualBox v3.0.4 datant du 5 août 2009) couplé à un fichier d’image disque virtuelle micro.vdi (une image d’une version expurgée de Windows XP SP3 appelée MicroXP v0.82 embarquant l’exécutable du ransomware Ragnar locker. Copié dans le répertoire VirtualAppliances des fichiers programmes x86, ce programme malveillant déploie un exécutable (va.exe), un fichier batch (install.bat) et quelques fichiers support. « Le programme d’installation MSI exécute va.exe, qui à son tour exécute le script de commandes install.bat. La première tâche du script consiste à enregistrer et à exécuter les extensions d’application VirtualBox VBoxC.dll et VBoxRT.dll nécessaires, ainsi que le pilote VirtualBox VboxDrv.sys: », explique Sophos.

« Étant donné que l’application de rançongiciel vrun.exe s’exécute à l’intérieur de la machine invitée virtuelle, son processus et ses comportements peuvent s’exécuter sans entrave, car ils sont hors de portée des logiciels de sécurité sur la machine hôte physique."

max_971

N’est-il pas possible de créer un fichier impossible à crypter ?

Quand le ransomware arrivera à ce fichier, il serait bloqué ou crypterait à l’infini un fichier où la fin du fichiers pointe vers le début de ce même fichier.

On aurait sauvé une partie du disque dur. Non ?

PS : je suis amateur en informatique.

megadub

Non, ce n’est pas possible. On peut protéger les fichiers en écriture mais il y aura toujours au moins un compte qui pourra modifier ce fichier.