Attaque par rançongiciel NetWalker contre K-Electric

Le rançongiciel NetWalker a paralysé les systèmes de facturation et en ligne de l'unique fournisseur d'électricité de Karachi et exigé une rançon de 3,85 millions de dollars qui devait doubler à 7,7 millions ; face au refus de K-Electric, le groupe a divulgué en ligne une archive de 8,5 Go de données volées.

Le 7 septembre 2020, K-Electric — l'unique fournisseur d'électricité de Karachi, la plus grande ville du Pakistan avec plus de 20 millions d'habitants — a été frappé par le rançongiciel NetWalker. L'attaque a chiffré les systèmes internes et mis hors service les portails de facturation en ligne et de service client de l'entreprise, tandis que les opérateurs exigeaient l'une des plus importantes rançons jamais réclamées publiquement à une organisation pakistanaise.

Ce qui s'est passé

NetWalker (également suivi sous le nom de Circus Spider) était une opération de rançongiciel-en-tant-que-service menant un schéma classique de double extorsion : chiffrer les fichiers des victimes tout en exfiltrant des données pour forcer le paiement. Après avoir pénétré K-Electric, le groupe a verrouillé les systèmes desservant environ 2,5 millions de comptes clients et perturbé la capacité de l'entreprise à émettre et accepter des paiements de factures en ligne.

Élément crucial, l'alimentation électrique elle-même n'a pas été interrompue — les technologies opérationnelles contrôlant la production et la distribution d'électricité sont restées distinctes des systèmes informatiques touchés. Les dégâts se sont concentrés sur les fonctions clients et administratives.

La rançon

Le site de fuite sur le dark web de NetWalker a affiché un compte à rebours exigeant 3,85 millions de dollars en bitcoin sous sept jours, avertissant que la somme doublerait à 7,7 millions si l'échéance passait. Le message menaçait de publier les données volées et de détruire définitivement les clés de déchiffrement.

K-Electric a d'abord minimisé l'incident, déclarant que les données clients « restaient intactes et sécurisées » après son examen forensique. L'entreprise n'a pas payé.

La fuite de données

Le 5 octobre 2020, n'ayant reçu aucun paiement, NetWalker a mis sa menace à exécution et publié une archive de 8,5 Go de fichiers volés à K-Electric. La société de sécurité pakistanaise Rewterz, qui a examiné le dépôt, a rapporté qu'il contenait des données financières, des informations clients, des rapports d'ingénierie, des journaux de maintenance, des états financiers non audités, des schémas de turbines et des relevés de facturation clients — contredisant les assurances antérieures de l'entreprise selon lesquelles aucune donnée n'avait été compromise.

Pourquoi c'est important

L'attaque contre K-Electric a constitué un signal d'alarme pour la cybersécurité des infrastructures critiques au Pakistan. Elle a montré qu'un groupe de rançongiciel motivé par l'appât du gain pouvait paralyser l'épine dorsale administrative d'un grand service public national desservant une mégapole, et que refuser de payer comporte le coût réel d'une exposition massive de données. NetWalker lui-même a été démantelé en janvier 2021 lorsque les forces de l'ordre internationales ont saisi son infrastructure et inculpé un affilié, mais la fuite de K-Electric est restée un exemple déterminant de l'extension du rançongiciel aux services essentiels des marchés émergents.

Chronologie

7 septembre 2020

Le rançongiciel NetWalker chiffre les systèmes de K-Electric, perturbant la facturation en ligne et les services clients à travers Karachi.

8 septembre 2020

Les clients signalent l'impossibilité de consulter ou de payer leurs factures en ligne ; K-Electric affirme que l'alimentation électrique elle-même n'est pas affectée.

9 septembre 2020

Le site de fuite de NetWalker exige 3,85 millions de dollars en bitcoin sous sept jours, menaçant de doubler la somme à 7,7 millions.

15 septembre 2020

Les chercheurs confirment la souche NetWalker et la menace de double extorsion visant à publier les données volées.

5 octobre 2020

Face au refus de paiement de K-Electric, NetWalker publie en ligne une archive de 8,5 Go de fichiers volés.

Sources

bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/netwalker-ransomware-hits-pakistans-largest-private-power-utility/

bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/hackers-leak-files-stolen-in-pakistans-k-electric-ransomware-attack/

dawn.comhttps://www.dawn.com/news/1578882

securityaffairs.comhttps://securityaffairs.com/108075/malware/k-electric-netwalker-ransomware-attack.html

Incidents liés

RançongicielRésolu14 février 2020

Attaque par rançongiciel contre INA Group

Le rançongiciel Clop a chiffré des serveurs dorsaux d'INA Group, la plus grande compagnie pétrolière et chaîne de stations-service de Croatie, paralysant la facturation, les cartes de fidélité, les vignettes électroniques, les recharges mobiles et le paiement des factures de gaz, tandis que la vente de carburant se poursuivait.

Victim: INA Group

RançongicielInconnu21 avril 2026

Engie : une cyberattaque revendiquée par un groupe ransomware

En avril 2026, le groupe d'extorsion Coinbase Cartel a inscrit le géant français de l'énergie Engie sur son site de fuites, affirmant avoir volé des données sensibles et menaçant de tout publier faute de rançon ; Engie n'a pas confirmé publiquement l'intrusion.

Victim: Engie

RançongicielRésolu9 décembre 2024

Attaque par rançongiciel Lynx contre Electrica Group

Le gang de rançongiciels Lynx a compromis Electrica Group, l'un des plus grands fournisseurs d'électricité de Roumanie desservant 3,8 millions d'utilisateurs, perturbant les services clients tandis que les systèmes SCADA et autres systèmes critiques du réseau étaient isolés et maintenus en service.

Victim: Electrica Group

RançongicielRésolu27 novembre 2024

Attaque par rançongiciel RansomHub contre RECOPE

Le rançongiciel RansomHub a contraint le raffineur public costaricien RECOPE à basculer tout son réseau de distribution de carburant en mode manuel, déclenchant le premier déploiement réel du programme de cyber-réponse FALCON du département d'État américain.

Victim: Refinadora Costarricense de Petróleo (RECOPE)