NetWalker : ce ransomware qui sévit en France

Covéa, pris au piège de NetWalker ? Il est tentant d’émettre l’hypothèse au vu des dégâts que ce ransomware semble avoir faits en France ces derniers jours.

Deux entreprises basées dans l’Hexagone sont récemment apparues sur la liste des victimes revendiquées*. D’un côté, la plate-forme de réservation de voyages en ligne MisterFly, membre du French Tech 120. De l’autre, la branche tricolore de CPM International, filiale du groupe Omnicom.

MisterFly n’évoque pas NetWalker, mais reconnaît avoir subi une attaque par ransomware. « Les attaquants ont réussi à accéder à certains types de fichiers », mais pas à des données bancaires, a précisé son directeur e-commerce.

Sollicitée par Silicon.fr, l’entreprise affirme n’avoir « pas plus de détails à fournir ». À en croire le compte à rebours affiché sur le « blog officiel » de NetWalker (connexion au réseau Tor nécessaire), il lui reste un peu plus de six jours pour payer la rançon. Sans quoi elle devra faire face à la publication de données qui lui ont été dérobées. La capture d’écran ci-dessous laisse entrevoir le stock à disposition.

CPM France n’a pour sa part pas répondu à nos sollicitations. Son compte à rebours approche des 5 jours. De 3M à William Saurin, ses clients pourraient avoir des raisons de s’inquiéter.

NetWalker : MMA, gros tracas ?

On aura noté, toutefois, que les données publiées ne sont pas toujours « à la hauteur » de ce que laissent augurer les captures d’écran. Illustration avec le cas de Lorien Health.

Le groupe américain de services aux seniors vient de reconnaître avoir subi, début juin, un « incident informatique ». Il ne mentionne pas NetWalker, ni même un quelconque ransomware. Son descriptif laisse néanmoins peu de doute avec, comme principaux éléments, le chiffrement de données et leur exfiltration. Parmi elles, des noms, des adresses postales, des dates de naissance, des numéros de sécurité sociale et des informations médicales. L’archive rendue publique ne contient cependant « que » des scans de compte fournisseurs.

Et Covéa, dans tout ça ? Comme Lorien Health, le groupe mutualiste déplore un « incident informatique », survenu plus récemment. En l’occurrence, entre le 16 et le 17 juillet. Ses filiales MAAF et GMF n’ont pas été épargnées, mais les plus grosses perturbations sont recensées chez MMA.

Le site Internet de la société d’assurance est actuellement inaccessible, au même titre que ses services de gestion. La conséquence d’un arrêt des systèmes informatiques « à titre conservatoire », à la suite d’une « tentative d’acte malveillant ».

Plusieurs agences affiliées ont témoigné du problème. Covéa a quant à lui précisé aux Échos ne pas avoir constaté de fuite de données.

* Une recherche Twitter sur le hashtag #netwalker donne une idée du niveau d’activité de NetWalker ces dernières semaines. Une université californienne a craqué dernièrement, versant plus d’un million de dollars de rançon.

Illustration principale © lolloj – Fotolia