Attaque par rançongiciel contre INA Group

Le rançongiciel Clop a chiffré des serveurs dorsaux d'INA Group, la plus grande compagnie pétrolière et chaîne de stations-service de Croatie, paralysant la facturation, les cartes de fidélité, les vignettes électroniques, les recharges mobiles et le paiement des factures de gaz, tandis que la vente de carburant se poursuivait.

Le soir du 14 février 2020, INA Group — la plus grande compagnie pétrolière de Croatie et exploitant de sa plus importante chaîne de stations-service — a été frappé par une attaque par rançongiciel qui a chiffré plusieurs de ses serveurs informatiques dorsaux. INA est majoritairement influencé par le groupe MOL hongrois et le gouvernement croate, ses deux principaux actionnaires.

Ce qui s'est passé

Vers 22h00 heure locale, le rançongiciel Clop a chiffré une partie de l'infrastructure d'entreprise d'INA. Clop, apparu pour la première fois en 2019, était activement déployé contre des organisations européennes par le groupe d'attaquants à motivation financière TA505. Le maliciel est connu pour désactiver les produits de sécurité — y compris Windows Defender — en modifiant des valeurs de registre avant de commencer à chiffrer les fichiers.

L'attaque a touché les systèmes administratifs plutôt que les terminaux de point de vente qui gèrent les achats de carburant. En conséquence, INA a souligné que les clients pouvaient toujours acheter du carburant et payer en espèces, avec des cartes INA et des cartes bancaires dans ses stations.

Impact

Le chiffrement a paralysé toute une série de services destinés aux clients et à l'administration :

L'enregistrement et l'utilisation des cartes de fidélité
L'émission des factures
La vente de recharges téléphoniques mobiles
L'émission des vignettes électroniques (autocollant de péage autoroutier)
Le paiement des factures de gaz

INA a déclaré « prendre des mesures pour remédier » à la perturbation et a travaillé à rétablir les systèmes touchés. L'entreprise n'a pas confirmé publiquement de demande de rançon ni si un paiement avait été effectué.

Pourquoi c'est important

L'incident INA a été un exemple marquant de rançongiciel frappant une infrastructure énergétique critique en Europe centrale et orientale, et il a illustré une leçon récurrente : même lorsque la technologie opérationnelle et les circuits de paiement restent en ligne, la perte de l'informatique administrative — facturation, fidélité, recharges, vignettes électroniques réglementaires — dégrade un service à l'échelle nationale et érode la confiance des clients.

Il s'inscrivait également dans la campagne plus large TA505 / Clop qui visait de grandes entreprises européennes en 2019-2020, préfigurant le virage ultérieur du groupe vers des tactiques de vol de données assorti d'extorsion, notamment l'exploitation massive de l'outil de transfert de fichiers MOVEit en 2023. Pour la Croatie, l'attaque contre une compagnie énergétique stratégiquement importante et partiellement détenue par l'État a accru l'attention du gouvernement et de l'industrie sur la protection des services essentiels contre les rançongiciels.

Chronologie

14 février 2020

Vers 22h00 heure locale, le rançongiciel Clop chiffre plusieurs serveurs dorsaux d'INA Group.

15 février 2020

INA confirme qu'une cyberattaque a perturbé une partie de son activité et indique que la vente de carburant et le traitement des paiements se poursuivent normalement.

15 février 2020

L'enregistrement des cartes de fidélité, l'émission des factures, la vente de recharges mobiles, l'émission des vignettes électroniques et le paiement des factures de gaz sont perturbés.

24 février 2020

INA poursuit la remédiation tandis que les chercheurs attribuent l'attaque à la souche Clop associée au groupe TA505.

Sources

securityaffairs.comhttps://securityaffairs.com/98203/malware/ina-group-ransomware-attack.html

socprime.comhttps://socprime.com/news/ransomware-attack-stymies-operations-of-ina-group/

cybersecurity-help.czhttps://www.cybersecurity-help.cz/blog/957.html

businessinsurance.comhttps://www.businessinsurance.com/article/20200224/STORY/912333193/Croatias-largest-oil-firm-suffers-cyber-attack

Incidents liés

RançongicielRançon payée23 juillet 2020

Rançongiciel WastedLocker chez Garmin (Evil Corp)

Evil Corp a déployé le rançongiciel WastedLocker contre Garmin, mettant hors ligne les services aéronautiques flyGarmin, Garmin Connect et la messagerie satellite inReach pendant cinq jours. Garmin a versé une rançon estimée à 10 M$ malgré les sanctions de l'OFAC visant Evil Corp.

Victim: Garmin Ltd.
Loss: $30.0M

RançongicielRançon payée23 décembre 2019

Rançongiciel Clop à l'Université de Maastricht (Pays-Bas, 2019)

TA505 a utilisé le rançongiciel Clop pour chiffrer 267 serveurs de l'Université de Maastricht pendant les fêtes de Noël 2019, après que deux courriels d'hameçonnage envoyés les 15 et 16 octobre eurent compromis le réseau. L'université a payé 30 BTC (~220 000 $). La rançon en Bitcoin — saisie par la suite auprès d'une mule financière — a été restituée et avait pris de la valeur, laissant l'université avec un gain net d'environ 300 000 $.

Victim: Maastricht University
Loss: $220.0K

RançongicielRésolu7 septembre 2020

Attaque par rançongiciel NetWalker contre K-Electric

Le rançongiciel NetWalker a paralysé les systèmes de facturation et en ligne de l'unique fournisseur d'électricité de Karachi et exigé une rançon de 3,85 millions de dollars qui devait doubler à 7,7 millions ; face au refus de K-Electric, le groupe a divulgué en ligne une archive de 8,5 Go de données volées.

Victim: K-Electric

RançongicielInconnu21 avril 2026

Engie : une cyberattaque revendiquée par un groupe ransomware

En avril 2026, le groupe d'extorsion Coinbase Cartel a inscrit le géant français de l'énergie Engie sur son site de fuites, affirmant avoir volé des données sensibles et menaçant de tout publier faute de rançon ; Engie n'a pas confirmé publiquement l'intrusion.

Victim: Engie