Shutter2U - stock.adobe.com

Actualites

Ransomware : que sait-on de Termite, qui a attaqué le département de la Réunion ?

Découverte mi-novembre, l’enseigne de rançongiciel Termite pourrait être active depuis le printemps. Elle revendique déjà deux victimes françaises et apparaît utiliser Babuk.

Valéry Rieß-Marchive
par
Publié le: 10 déc. 2024

C’est une petite enseigne, découverte mi-novembre avec, à ce moment-là, 4 victimes revendiquées sur son site vitrine : Termite.

Rapidement viendront s’y ajouter le conseil scolaire de Viamonde, au Canada, et le département français de la Réunion. 

Au moment où sont publiées ces lignes, Termite vient tout juste de revendiquer une cyberattaque contre BlueYonder. Cette filiale de Panasonic, anciennement appelée JDA Software Group, est un spécialiste de la logistique. L’attaque menée contre lui a notamment affecté les activités de Starbucks aux États-Unis, ou encore des supermarchés Morrisons et Sainsbury’s outre-Manche.

Trend Micro a pu se pencher sur un échantillon du ransomware utilisé par Termite : il s’appuie sur le code de Babuk. Le code source de ce dernier avait été rendu public en septembre 2021

Apparu début 2020, le groupe Babuk avait annoncé l’arrêt des attaques avec ransomware quatre mois plus tard. Son code a été utilisé par d’autres, à commencer par Rook ou plus récemment Dark Angels, en particulier pour les environnements virtualisés.

La paternité de Babuk est attribuée à Mikhail Matveev, aussi connu sous les pseudonymes « Wazawka » et « boriselcin ». Il a été récemment arrêté en Russie, mais laissé en liberté sous caution.

Selon Trend Micro, le rançongiciel de Termite « présente actuellement un défaut d’exécution qui provoque son arrêt prématuré ». Pour l’éditeur, « Termite est encore en train d’affiner son maliciel » : « c’est un moment critique pour que les entreprises renforcent leurs cyberdéfenses avant que le groupe ne devienne plus sophistiqué ».

Un second échantillon du ransomware de Termite est disponible. Son nom suggère qu’il s’agit de celui utilisé contre l’hôpital de Watsonville, aux États-Unis. L’enseigne malveillante n’a pas encore revendiqué cette victime, mais semble déjà disposer de ses données sur son infrastructure de divulgation.

Selon l’expert Kevin Beaumont, des acteurs associés à l’enseigne Termite disposent de code d’exploitation pour la vulnérabilité CVE-2024-50623. Celle-ci affecte les produits Cleo Harmony, VLTrader, et LexiCom jusqu’à la version 5.8.0.21. Les équipes de Huntress ont observé l’exploitation active de cette vulnérabilité le 3 décembre 2024, et documenté leurs constatations dans un billet publié le 9 décembre.

Chronologie

L’enseigne Termite pourrait être active depuis avril 2024. Les données du service de gestion de la surface d’attaque exposée Onyphe le suggèrent : l’une des victimes revendiquées sur la vitrine de la jeune marque, le Français Culligan, utilise un système VPN Fortinet qui n’a pas répondu aux sondes d’Onyphe du 20 avril au 3 juillet dernier ; il aurait dû être notamment sondé autour du 26 avril.

Nous avons sollicité le service de presse de Culligan pour tenter d’obtenir la date effective de survenue de l’attaque revendiquée par Termite. Nous mettrons à jour cet article quand – et si – une réponse nous parvient. 

  • 30 novembre 2024, Hôpital Communautaire de Watsonville (USA)

L’hôpital communautaire de Watsonville, en Californie, fait face à une panne informatique majeure qui dure depuis près d’une semaine, perturbant ses opérations et les soins aux patients. Les employés ont recours à des prescriptions et des dossiers médicaux sur papier pour pallier l’indisponibilité des systèmes numériques.

  • 21 novembre 2024, BlueYonder (USA)

L’éditeur de logiciels Blue Yonder, qui fournit des services à des chaînes de supermarchés aux États-Unis et au Royaume-Uni, a été victime d’une attaque de ransomware qui a perturbé son environnement de services managés. Les géants de la distribution britanniques Morrisons et Sainsbury’s ont été affectés, tandis que les grandes chaînes de supermarchés américaines Albertsons et Kroger, qui utilisent également les services de Blue Yonder, n’ont pas encore commenté l’incident.

  • 13 novembre 2024, Département de la Réunion (FRA)

Le département de la Réunion a été victime d’une cyberattaque le 13 novembre, mais grâce à l’intervention rapide des équipes informatiques, la fuite de données a été limitée. Les réseaux informatiques ont été temporairement interrompus pour éviter tout risque de propagation, et une cellule de crise a été mobilisée pour évaluer les conséquences et rétablir les réseaux. Le département est pleinement mobilisé pour assurer la continuité de ses services et limiter les perturbations liées à cet incident.

  • 9 novembre 2024, Lebenshilfe Heinsberg (DEU)

La Lebenshilfe Heinsberg, une organisation d’aide aux personnes handicapées, a été victime d’une attaque de ransomware, ce qui a entraîné une panne technique et une indisponibilité de ses services par e-mail.

  • 17 octobre 2024, Conseil scolaire de Viamonde (CAN)

Le Conseil scolaire Viamonde a été victime d’une cyberattaque qui a entraîné une panne de ses systèmes informatiques. Les écoles restent ouvertes, mais les services IT sont perturbés, ce qui affecte les cours.

Article initialement publié le 6 décembre 2024, mis à jour le 10 décembre 2024.

Pour approfondir sur Menaces, Ransomwares, DDoS