L'armateur CMA CGM frappé par une cyberattaque, un ransomware, encore ?

29 septembre 2020 à 13h06
11
CMA CGM
© CMA CGM

La compagnie marseillaise a annoncé, lundi, avoir subi une attaque informatique endommageant ses serveurs périphériques, mettant à l'arrêt plusieurs services.

Dans un communiqué paru le lundi 28 septembre, le groupe CMA CGM a annoncé avoir été victime d'une cyberattaque ayant touché ses serveurs périphériques. Un coup dur pour l'armateur qui a été contraint, dans la foulée, d'interrompre les accès externes aux applications pour freiner la progression du logiciel malveillant diffusé pendant l'attaque. C'est un ransomware qui sèmerait une fois de plus la panique dans une grande entreprise mondiale.

Le message du groupe de hackers diffusé

CMA CGM a tout de suite tenu à être rassurant en indiquant que le cœur de son système informatique n'a pas été touché et qu'à l'aide de ses techniciens et d'experts indépendants, l'accès aux systèmes d'information « reprend progressivement ».

Alors que s'est-il passé pour la compagnie maritime d'affrètement basée à Marseille ? Selon plusieurs sites spécialisés dans la cybersécurité, capture d'écran à l'appui, le groupe est tombé dans le piège du ransomware Ragnar Locker, un logiciel de cryptage de données réputé pour se cacher dans une machine virtuelle, ce qui l'aide à échapper aux radars des logiciels de protection. Le groupe derrière le rançongiciel aurait pris contact avec le transporteur en le sommant de le contacter dans les deux jours via un canal dédié et de procéder au paiement de la rançon, pour obtenir la clé de décryptage des données ciblées.

message CMA CGM Ragnar
Le message du groupe Ragnar Locker est on ne peut plus clair ! (© Lars Jensen / Lloyd's List)

Plusieurs filiales du groupe CMA CGM ont aussi été touchées : APL, basée à Singapour et qui dessert plus de 70 pays dans le monde ; ANL, spécialisée dans le transport de conteneurs sur toute la zone océanique ; et CNC Line, un leader du commerce intra-Asie. Les sites web des deux dernières citées, ainsi que ceux de CMA CGM, étaient indisponibles suite à l'attaque.

Un silence qui en dit long

CMA CGM, qui conseille à ses clients de contacter leur agence locale pour les réservations de conteneurs, continue de mener son enquête. Selon Lars Jensen , expert dans l'industrie du transport de conteneurs, les sites de la maison-mère et de ses filiales étaient toujours en panne ce mardi matin. Dans un post publié sur LinkedIn, le spécialiste souligne un certain défaut de communication proactive face à cette attaque. Un point soulevé par l'ANSSI au début du mois de septembre dans son guide visant à aider les victimes de ransomwares à anticiper les attaques et à réagir lorsqu'elles surviennent.

Le groupe maritime était censé communiquer à nouveau au plus tard lundi en fin de journée. Cela fait désormais plus de 24 heures que CMA CGM fait silence radio au sujet de l'attaque subie. Il y a un peu plus d'un mois, un autre acteur du secteur maritime, décidément très touché, fut la cible d'un ransomware. Le croisiériste Carnival avait ainsi vu une partie des données personnelles de ses 150 000 employés et des données de certains de ses clients être dérobées.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
11
10
Peter_Vilmen
Merci les cryptomonnaies encore une fois! Bein oui, les hackeurs ne vont pas demander une malette pleine de billets, ou bien un virement vers un compte courant à leur nom, ils ne sont pas idiots mdrrrrr
mang_kon_si_kaow
Ya qu’a voir comment ça se passe en interne et on peut comprendre la débandade. désolé mais moi ça me fait rire. Bien fait pour leur gueule.
Nmut
Comment un abus de faiblesse peut te réjouir? Le fait qu’ils soient à coté de la plaque niveau sécurité est plus un problème général (les données qui peuvent diffusées peuvent aussi impacter d’autre société ou des personnes).<br /> Je ne pense pas que tu connaisses le domaine de l’IT, tu saurais que les couts et le temps de formation des utilisateurs sont énormes et que les moyens/compétences des pirates sont bien supérieurs (normal ça rapporte bien plus de pirater que de protéger).<br /> Dans tous les cas, il est plus facile de trouver une faille que de combler celle-ci.
megadub
Si la CMA-CGM a un comportement discutable en interne, c’est quand même bien les salariés qui vont galérer avec cette m*rde donc… moi j’dis pas bien fait et je souhaite qu’ils arrivent à se débrouiller de cette affaire
Nicolas_Paille
Bonjour je suis d’accord avec Nmut .Les formations des utilisateurs sont longues et complexes.
mrassol
et les utilisateurs idiots (faut arreter de se voiler la face), tu leurs change un icone ils sont perdus, tu leur parle de sécurité ils rigolent, les michele01/michele02/… sont courants … meme a des hauts postes.
megadub
En l’occurrence, c’est une attaque sur les VM donc les peons ne sont pas responsables
stefane
Non, la VM, c’est sa méthode de dissimulation, mais ça peut aussi être sur le poste client, ou un serveur, et pas «&nbsp;les VM de l’IT&nbsp;»<br /> "Dans le détail, le package malveillant est ainsi articulé autour d’une installation fonctionnelle d’un ancien hyperviseur Oracle VirtualBox (Sun xVM VirtualBox v3.0.4 datant du 5 août 2009) couplé à un fichier d’image disque virtuelle micro.vdi (une image d’une version expurgée de Windows XP SP3 appelée MicroXP v0.82 embarquant l’exécutable du ransomware Ragnar locker. Copié dans le répertoire VirtualAppliances des fichiers programmes x86, ce programme malveillant déploie un exécutable (va.exe), un fichier batch (install.bat) et quelques fichiers support. « Le programme d’installation MSI exécute va.exe, qui à son tour exécute le script de commandes install.bat. La première tâche du script consiste à enregistrer et à exécuter les extensions d’application VirtualBox VBoxC.dll et VBoxRT.dll nécessaires, ainsi que le pilote VirtualBox VboxDrv.sys: », explique Sophos.<br /> « Étant donné que l’application de rançongiciel vrun.exe s’exécute à l’intérieur de la machine invitée virtuelle, son processus et ses comportements peuvent s’exécuter sans entrave, car ils sont hors de portée des logiciels de sécurité sur la machine hôte physique."
max_971
N’est-il pas possible de créer un fichier impossible à crypter ?<br /> Quand le ransomware arrivera à ce fichier, il serait bloqué ou crypterait à l’infini un fichier où la fin du fichiers pointe vers le début de ce même fichier.<br /> On aurait sauvé une partie du disque dur. Non ?<br /> PS : je suis amateur en informatique.
megadub
max_971:<br /> N’est-il pas possible de créer un fichier impossible à crypter ?<br /> Non, ce n’est pas possible. On peut protéger les fichiers en écriture mais il y aura toujours au moins un compte qui pourra modifier ce fichier.
notolik
Par définition toute information et cryptable.<br /> Par contre, le cryptage est un processus long et/ou consommateur de beaucoup de ressources, ce qui fait qu’un ransomware est détectable même par un humain alerte : la machine devient anormalement lente.<br /> Plus on découvre le Ransomware tard, plus il a fait de dégâts et plus il faudra de temps pour tout réparer (ou payer).<br /> La détection peut se faire au niveau de l’hôte et/ou de l’explosion du volume de ses sauvegardes. Mais il faut être prêt, et constamment contrôler les alertes…<br /> C’est une saloperie ces trucs!
Voir tous les messages sur le forum

Actualités du moment

L'énergie nucléaire continue de perdre du terrain face au solaire et à l'éolien
iPhone 12 : les usines chinoises tournent 24h/24 (et les ouvriers doivent reporter leurs congés)
Le Huawei P Smart 2021 se lance en Europe : 48 MP, Kirin 710A et une grosse batterie
Apple dévoile les dessous de Scribble, sa technologie de reconnaissance d'écriture dans iPadOS 14
Airbnb : un problème technique laisse consulter les messages d'autres utilisateurs
Aux USA, Amazon veut vous permettre de payer en scannant la paume de votre main
Le nouveau barème des bonus/malus automobile se précise
Le pliable ultra solide ? Lenovo arme son ThinkPad X1 Fold avec un prix salé au lancement
Google Meet : l'annulation du bruit débarque sur Android et iOS... pour les clients G Suite
Haut de page