Deux attaques de ransomware en moins de 6 mois. C’est un fait rare, mais l’énergéticien italien Enel vient probablement d’en faire l’expérience. En juin dernier, le groupe avait subi les outrages de Snake. Ce dernier est apparu en janvier dernier avec comme particularité la capacité de s'attaquer aux sauvegardes de fichiers ainsi qu'à des processus ciblant notamment les systèmes de contrôle industriels et les outils de gestion réseau. En juin, le fournisseur d’électricité avait été obligé de débrancher son réseau IT interne suite à l’infection du ransomware. Après nettoyage et remédiation, le groupe avait réactivé son réseau.
Aujourd’hui, selon la société TG Soft spécialisée dans la cybersécurité, il semble que le groupe Enel ait subi une autre cyberattaque par ransomware. Le coupable cette fois-ci se nomme Netwalker. Sur le blog du gang éponyme, les experts de TG Soft ont découvert un écran avec plusieurs fichiers liés à Enel et un compte à rebours. Les cybercriminels revendiquent le vol de près de 5 To de données appartenant à l’énergéticien et lui laissent une semaine pour accéder à sa demande de rançon sous peine de publication d’une première partie des fichiers.
Enel bientôt classé OIV
Dans une capture d’écran dévoilée sur le compte Twitter de TG Soft, on voit plusieurs dossiers relatifs à des régions et des villes italiennes, mais aussi à la France, au Chili ou à la Colombie. Par ailleurs, d’autres dossiers concernent des domaines plus stratégiques comme le marketing, le management, l’innovation, la logistique… Reste à savoir de quand datent ces dossiers.
Enel, contacté par la rédaction, n’a pas encore communiqué sur cette seconde attaque. Si elle est confirmée, alors plusieurs questions se poseront. Par quel biais, les attaquants ont-ils pu entrer dans le réseau d’Enel (RDP, ADC Citrix) ? Quels sont les systèmes impactés ? Pourquoi, après une première attaque par ransomware, une seconde a-t-elle pu avoir lieu ? Surtout que cet évènement intervient quelques jours avant la mise en œuvre (le 5 novembre) d’un décret portant application du règlement sur le périmètre de la cybersécurité nationale, l’équivalent de la loi de programmation militaire en France qui avait consacré les opérateurs d’importance vitale (OIV). Dans la liste italienne, qui doit comme en France rester secrète, on devrait retrouver Enel, à qui le gouvernement italien pourra demander de renforcer fortement sa sécurité informatique.