Ransomware chez Umanis : vers un scénario « à la MMA » ?

Umanis ransomware MMA

Netwalker semble s’être infiltré chez Umanis. MMA, autre victime présumée de ce ransomware, a eu à subir des conséquences qui sont allées bien au-delà de la rançon.

Umanis, victime de Netwalker ? Cette piste se dessine. L’implication d’un ransomware ne fait en tout cas guère de doute, au vu des discussions que tiennent certains employés de l’ESN.

Umanis ransomware

La communication officielle fait simplement état d’un « virus » contracté dans le cadre d’une cyberattaque survenue le 14 novembre. On nous affirme avoir « immédiatement [stoppé] » sa propagation, moyennant une déconnexion du réseau pendant le week-end. Objectif : un « retour à la normale dans les prochains jours »…

Umanis n'apparaît pas pour le moment sur la liste « officielle » des victimes revendiquées de Netwalker. Des entreprises françaises y figurent déjà. Scutum (sûreté-sécurité), Kinaxia (immobilier), Activisu (équipements pour opticiens), Record (portes automatiques) et Prismaflex (panneaux d'affichage et impression grand format) font partie des dernières à l'avoir rejointe.

Pas de trace, en revanche, d'une quelconque entité de la sphère Covéa. Alors même qu'on soupçonne Netwalker d'avoir touché, cet été, plusieurs entités du groupe mutualiste. En particulier MMA.

La rançon... et le reste

Le blog de la CGT Covéa donne un aperçu de la chronologie des événements... et des conséquences à plus ou moins long terme.
Le collectif syndical avait publié un premier billet le 23 juillet. Soit quasiment une semaine après la détection de l'attaque. Confirmant que l'ensemble du réseau informatique de MMA restait coupé, il en appelait à la « transparence » de la direction. Tout en soulignant que celle-ci avait tenté d'imposer la prise de congés/RTT, avant de se rétracter et de passer en « absence autorisée rémunérée » les salariés en incapacité de mener des activités sur site.

Le 27 juillet, au lendemain d'un CSE au Mans, deuxième billet. Le réseau est toujours coupé : pas d'applicatifs métiers en interne ; ni, pour les clients, d'accès aux services de gestion. La CGT explique que Covéa a reçu une demande de rançon, mais n'y a pas répondu. Le groupe réfute par ailleurs tout accès à des « bases de données lourdes ». L'absence de revendication officielle de l'attaque accrédite alors cette affirmation.

L'incident a des conséquences organisationnelles. D'un côté, l'ensemble des salariés (sauf ceux en congé) ont pour consigne de rapporter leur matériel pour analyse. De l'autre, le télétravail n'est plus possible jusqu'à nouvel ordre - avec une exception pour les personnes vulnérables qui ont un certificat médical d'isolement.
La direction Indemnisation avance une perte de 30 000 heures d'activité. Covéa envisage le recours aux heures supplémentaires, sur la base du volontariat pour commencer.

MMA : Windows 7 comme point d'entrée ?

Le 30 septembre, lors d'un CES central portant sur la DTSI (Direction Technologie & Systèmes d'Information), les représentants CGT font le bilan. Bilan qui va évidemment dans le sens des salariés, mais qui soulève des questions stratégiques intéressantes. Entre autres :

  • Quelle confiance accorder à des consultants extérieurs ?
  • Dans quelle mesure les projets de transformation grèvent-ils les budgets de maintenance ?
  • Jusqu'où pousser la stratégie de centralisation du SI ? Est-il pertinent de vouloir aplanir toute distinction entres mutuelles ?
  • Dans le contexte de reprise d'activité, quelle compensation face à la « mise à mal » de la législation sur les périodes de repos et la durée de travail sans interruption ?

À la mi-octobre, à l'issue d'un CSEE à Levallois, la CGT Covéa publie quelques-uns des détails techniques « probables » de l'attaque. Rapidement, elle en masque certains et admet un déroulement « légèrement différent » de celui présenté. En insistant sur le « légèrement ».
Dans les grandes lignes, un pirate aurait pris, au 1er trimestre 2020, le contrôle du poste de travail Windows 7 d'un agent. À partir de là, il se serait implanté durablement sur une passerelle Citrix en exploitant une faille pour laquelle l'éditeur proposait un correctif depuis décembre 2019. Il aurait alors pu récupérer un compte d'administrateur sur l'Active Directory.

Illustration principale © lolloj - Fotolia