Attaque par rançongiciel Netwalker contre la Dirección Nacional de Migraciones

Le 27 août 2020, le rançongiciel Netwalker a frappé la Dirección Nacional de Migraciones argentine, l'agence nationale d'immigration — l'un des premiers incidents de rançongiciel à perturber directement les opérations de contrôle frontalier d'un pays.

Ce qui s'est passé

Vers 7 h, les bureaux d'immigration de toute l'Argentine ont commencé à signaler qu'ils ne pouvaient plus accéder à leurs systèmes. Le rançongiciel Netwalker (également appelé Mailto) avait chiffré les serveurs et postes de travail Windows, ciblant les fichiers Active Directory SYSVOL, System Center DPM et Microsoft Office sur les répertoires partagés et les machines des utilisateurs.

Le Sistema Integral de Captura Migratoria (SICaM) de l'agence — le système qui traite les entrées et sorties aux points de contrôle internationaux — a été particulièrement touché. Pour empêcher la propagation du logiciel malveillant, Migraciones a coupé les réseaux informatiques de ses bureaux et postes frontaliers, suspendant tous les passages frontaliers à l'entrée et à la sortie de l'Argentine pendant environ quatre heures, le temps de restaurer les serveurs à partir des sauvegardes.

La rançon

Les opérateurs de Netwalker ont laissé une note de rançon exigeant 2 millions de dollars en cryptomonnaie, publiée sur un portail de paiement du dark web affichant des échantillons des données volées. La note avertissait que le montant augmenterait s'il n'était pas payé sous sept jours. Le délai passé, la demande est montée à 4 millions de dollars — soit environ 355 bitcoins.

Le gouvernement argentin, par l'intermédiaire du ministère de l'Intérieur, a fermement déclaré qu'il ne négocierait pas avec les attaquants et a exprimé peu d'inquiétude quant à une récupération de données par rançon, comptant plutôt sur la restauration à partir des sauvegardes. Après le refus de paiement, les opérateurs ont divulgué environ 1,8 Go de documents internes en représailles.

Conséquences

• Tous les passages frontaliers argentins ont été suspendus pendant environ quatre heures, un impact opérationnel sans précédent d'un rançongiciel sur une infrastructure nationale.
• Les données volées et partiellement divulguées comprenaient des documents administratifs internes ; certains comptes rendus évoquaient aussi des dossiers liés aux rapatriements durant la pandémie de COVID-19.
• Les opérations ont été restaurées à partir des sauvegardes ; aucune rançon n'a été payée.

Pourquoi c'est important

L'attaque contre Migraciones a constitué une démonstration marquante qu'un rançongiciel pouvait paralyser une fonction souveraine — la capacité de contrôler qui entre et sort d'un pays — et pas seulement chiffrer des fichiers d'entreprise. Netwalker fonctionnait comme un programme d'affiliation de rançongiciel-as-a-service et figurait parmi les opérations d'extorsion les plus prolifiques de 2020, ciblant hôpitaux, universités et gouvernements dans le monde entier, avant qu'une action coordonnée des forces de l'ordre internationales, en janvier 2021, ne saisisse son infrastructure et n'inculpe un affilié clé. La décision de l'Argentine de refuser le paiement et de restaurer à partir des sauvegardes est devenue une référence pour la réponse du secteur public aux rançongiciels en Amérique latine, tandis que la fermeture frontalière de quatre heures a souligné la fragilité des marges opérationnelles des systèmes gouvernementaux critiques.