Attaque par rançongiciel BlackCat contre EPM

Le 12 décembre 2022, Empresas Públicas de Medellín (EPM) — le plus grand opérateur public multiservices de Colombie — a été frappé par une attaque par rançongiciel largement attribuée à l'opération BlackCat (ALPHV). L'intrusion a chiffré les systèmes internes et contraint l'un des plus importants opérateurs d'infrastructures critiques du pays à plusieurs jours de fonctionnement manuel, sur papier.

Ce qui s'est passé

EPM fournit électricité, eau, gaz naturel et assainissement à environ 123 municipalités et figure parmi les plus grandes entreprises de Colombie, avec des revenus se chiffrant en dizaines de milliards de dollars. Au matin du 12 décembre 2022, l'entreprise a détecté que des systèmes internes avaient été chiffrés et que les services client en ligne étaient hors service.

Le lendemain, EPM a demandé à environ 4 000 employés de travailler depuis leur domicile et a mis hors ligne une grande partie de son infrastructure informatique pour contenir la propagation. L'entreprise a qualifié publiquement l'événement de cyberattaque tout en soulignant que la fourniture physique des services — production, traitement de l'eau et distribution — n'a jamais été interrompue, car la technologie opérationnelle était isolée du réseau d'entreprise touché.

Attribution

EPM n'a jamais officiellement nommé l'auteur. Cependant, le chercheur en sécurité chilien Germán Fernández a découvert un échantillon récent d'ExMatter, l'outil sur mesure d'exfiltration de données utilisé par l'opération de rançongiciel-as-a-service BlackCat/ALPHV, téléversé depuis la Colombie vers un service d'analyse de logiciels malveillants au cours de la même période. L'échantillon d'ExMatter pointait vers un serveur distant mal sécurisé, et les chercheurs ont conclu que BlackCat était à l'origine de l'intrusion contre EPM et avait dérobé des données d'entreprise, conformément à son modèle de double extorsion.

Conséquences

Environ 4 000 employés ont été renvoyés chez eux et sont revenus à des processus manuels pour la facturation, les achats et le service client.
Les portails clients, les canaux de paiement et la messagerie interne ont été perturbés pendant plusieurs jours.
La fourniture de services à 123 municipalités s'est poursuivie, mais la restauration des fonctions administratives s'est étalée sur plusieurs semaines.
EPM n'a pas confirmé publiquement le versement d'une rançon, et le volume exact des données exfiltrées n'a jamais été divulgué.

Pourquoi c'est important

L'attaque contre EPM a été l'une des frappes les plus marquantes contre les infrastructures critiques latino-américaines en 2022. Elle a démontré à la fois une force et un avertissement : la segmentation entre l'informatique et la technologie opérationnelle a empêché une compromission du système de facturation de se propager à une perte d'électricité ou d'eau — pourtant, un seul incident de rançongiciel a tout de même paralysé les fonctions administratives d'un opérateur desservant des millions de personnes. Pour la Colombie, elle a préfiguré une vague d'incidents très médiatisés — dont la violation du réseau de santé Keralty quelques jours plus tôt et l'attaque de la chaîne d'approvisionnement IFX Networks en 2023 — qui ont révélé à quel point les institutions du pays restaient exposées à l'extorsion par rançongiciel.

Chronologie

12 décembre 2022

EPM détecte une attaque par rançongiciel qui chiffre les systèmes internes et perturbe les services en ligne.

13 décembre 2022

EPM active ses plans de continuité d'activité et demande à environ 4 000 employés de travailler depuis leur domicile, l'infrastructure informatique étant mise hors ligne.

14 décembre 2022

EPM confirme publiquement être la cible d'une cyberattaque, tout en soulignant que l'approvisionnement en électricité, eau et gaz se poursuit sans interruption.

16 décembre 2022

Le chercheur chilien Germán Fernández identifie un échantillon de l'outil de vol de données « ExMatter » de BlackCat téléversé depuis la Colombie, reliant l'attaque à ALPHV.

19 décembre 2022

EPM continue d'exploiter des processus manuels de secours pour la facturation et le service client tout en restaurant ses systèmes.

Sources

bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/colombian-energy-supplier-epm-hit-by-blackcat-ransomware-attack/

heimdalsecurity.comhttps://heimdalsecurity.com/blog/blackcat-ransomware-targets-colombian-energy-supplier-epm/

securitynewspaper.comhttps://www.securitynewspaper.com/2022/12/16/biggest-electricity-water-and-gas-company-in-colombia-empresas-publicas-de-medellin-epm-suffers-ransomware-attack/

financecolombia.comhttps://www.financecolombia.com/epm-falls-victim-to-ransomware-attack/

Incidents liés

RançongicielRésolu27 novembre 2022

Attaque par rançongiciel RansomHouse contre Keralty / Sanitas

Le gang RansomHouse a frappé le géant colombien de la santé Keralty et ses filiales EPS Sanitas et Colsanitas, revendiquant le vol de 3 To de données et paralysant la prise de rendez-vous d'un réseau desservant plus de 6 millions de patients.

Victim: Keralty (EPS Sanitas, Colsanitas)

RançongicielRésolu6 mars 2022

Attaque par rançongiciel Hive contre Rompetrol

Le gang de rançongiciels Hive a frappé Rompetrol, exploitant de la plus grande raffinerie de Roumanie Petromidia, exigeant une rançon de 2 millions de dollars et paralysant le service de paiement Fill&Go et les sites web, tandis que la raffinerie poursuivait sa production.

Victim: Rompetrol (KMG International)

RançongicielInconnu21 avril 2026

Engie : une cyberattaque revendiquée par un groupe ransomware

En avril 2026, le groupe d'extorsion Coinbase Cartel a inscrit le géant français de l'énergie Engie sur son site de fuites, affirmant avoir volé des données sensibles et menaçant de tout publier faute de rançon ; Engie n'a pas confirmé publiquement l'intrusion.

Victim: Engie

RançongicielRésolu9 décembre 2024

Attaque par rançongiciel Lynx contre Electrica Group

Le gang de rançongiciels Lynx a compromis Electrica Group, l'un des plus grands fournisseurs d'électricité de Roumanie desservant 3,8 millions d'utilisateurs, perturbant les services clients tandis que les systèmes SCADA et autres systèmes critiques du réseau étaient isolés et maintenus en service.

Victim: Electrica Group