Skip to content
Cyber Breaches
Recherche
RançongicielContenu

Rançongiciel LockerGoga contre Norsk Hydro

Le producteur d'aluminium Norsk Hydro a perdu la majeure partie de son parc informatique mondial à cause du rançongiciel LockerGoga. Hydro a publiquement refusé de payer, a fait fonctionner ses activités sur papier pendant des semaines et a établi la référence éditoriale en matière de communication transparente sur les incidents.

Victime
Norsk Hydro
Perte
$75.0M
SecteurIndustrieÉnergie
PaysNorvège
GroupeLockerGoga operatorsLikely Volodymyr Tymoshchuk-attributed cluster (per 2025 DOJ unsealing)

Aux premières heures du 19 mars 2019, Norsk Hydro — l'un des plus grands producteurs d'aluminium au monde, avec des activités dans plus de 40 pays — a découvert que le rançongiciel LockerGoga chiffrait son parc informatique mondial. En l'espace de quelques heures, Hydro a pris la décision inhabituelle de déconnecter tous les systèmes informatiques mondiaux pour stopper la propagation, puis a tenu une conférence de presse télévisée dans le hall de son siège d'Oslo pour expliquer publiquement ce qui s'était passé et s'engager à ne pas payer la rançon.

La réponse de Hydro est devenue le modèle éditorial de référence en matière de communication transparente sur les rançongiciels.

Ce qui s'est passé

Les opérateurs de LockerGoga ont pénétré dans le réseau de Hydro vers décembre 2018 via un e-mail de spearphishing contenant une pièce jointe de facture trojanisée qui a déposé une balise Cobalt Strike. Au cours des trois mois suivants, ils ont :

  • Établi une persistance dans l'environnement Active Directory de Hydro.
  • Obtenu des identifiants d'administrateur de domaine.
  • Cartographié le parc informatique mondial de Hydro couvrant des activités en Norvège, Allemagne, aux Pays-Bas, aux États-Unis, au Brésil, en Australie et dans plus de 35 autres pays.

À 23 h 30 CET le 18 mars 2019, les opérateurs ont déployé LockerGoga. Contrairement aux rançongiciels modernes, LockerGoga ne comportait aucun volet de « double extorsion » — pas d'exfiltration de données préalable au chiffrement, pas de site de fuite. Il s'agissait d'un pur chiffrement-et-rançon, avec un déploiement relativement simple via les partages SMB et Active Directory.

À 06 h 00 CET le 19 mars, l'équipe des opérations informatiques de nuit de Hydro à Oslo avait détecté le chiffrement en cours. La réponse de Hydro a été exceptionnellement décisive :

  • Déconnexion informatique mondiale immédiate : tous les systèmes isolés les uns des autres et des réseaux externes en quelques heures.
  • Opérations manuelles : les fonderies d'aluminium ont poursuivi leur production en recourant à des procédures manuelles de secours ; les usines d'extrusion et les opérations en contact avec la clientèle sont revenues au papier.
  • Conférence de presse publique en quelques heures : tenue dans le hall d'Oslo de Hydro, diffusée à la télévision nationale norvégienne, avec le directeur financier Eivind Kallevik s'adressant directement à la caméra.

La réponse transparente

La conférence de presse de Kallevik a établi ce que les communications ultérieures sur les incidents de rançongiciel aspireraient à atteindre :

  • Reconnaissance directe de l'attaque comme un rançongiciel, nommément désigné.
  • Déclaration explicite que Hydro ne paierait pas.
  • État opérationnel concret : quelles usines étaient affectées, lesquelles fonctionnaient manuellement, ce à quoi les clients devaient s'attendre.
  • Briefings publics quotidiens au cours des semaines suivantes au fur et à mesure de la progression du rétablissement.

La décision de ne pas payer a été prise dès le premier jour et maintenue tout au long du rétablissement. L'assurance de Hydro a couvert environ 30 millions de NOK (~3,6 millions de dollars) du coût final — une faible fraction du total. L'essentiel du coût n'était pas assuré.

Des opérations sur papier

Le détail opérationnel le plus cité de la réponse de Hydro a été le retour à des opérations sur papier dans les usines d'extrusion. Les responsables d'usine en Europe et en Amérique du Nord ont :

  • Pris les commandes des clients par téléphone.
  • Suivi la production à l'aide de feuilles de poste manuscrites.
  • Envoyé des échantillons et des données qualité par coursier plutôt que par e-mail.
  • Sont revenus à des procédés de fabrication pré-informatiques que de nombreux employés plus âgés se rappelaient encore de leurs débuts de carrière.

La fonte de l'aluminium en elle-même s'est poursuivie sans interruption — le procédé de fonte fonctionne sur des systèmes de contrôle industriel dédiés qui n'ont pas été affectés par le chiffrement de LockerGoga, et les manuels de procédures pour un fonctionnement entièrement manuel avaient été conservés. Ce sont les opérations en aval d'extrusion et en contact avec la clientèle qui ont constitué les couches perturbées.

Impact

  • ~22 000 employés affectés par l'arrêt informatique dans plus de 40 pays.
  • Coût total pour Hydro sur l'année civile : ~800 millions de NOK (~75 millions de dollars US).
  • Couverture d'assurance : ~3,6 millions de dollars (une faible part seulement de la perte).
  • Aucune donnée exfiltrée ni divulguée — LockerGoga ne comportait pas de volet de fuite de données, et aucune fuite ultérieure n'a eu lieu.

Attribution

Les opérateurs de LockerGoga n'ont pas été publiquement attribués au moment de l'attaque contre Hydro. La même opération a frappé Altran Technologies (France), Hexion et Momentive début 2019, et était associée à la famille de rançongiciels MegaCortex qui a suivi.

En septembre 2025, le DOJ américain a rendu public un acte d'accusation contre le ressortissant ukrainien Volodymyr Tymoshchuk (persona en ligne « Deus ») pour les opérations LockerGoga et MegaCortex. Tymoshchuk reste en fuite en Russie selon les informations rapportées.

Pourquoi c'est important

Norsk Hydro est le cas emblématique de la communication transparente sur un incident de rançongiciel. Il a établi :

  • Qu'un refus public de payer est opérationnellement viable, à condition d'un engagement fort de la direction et de la maturité opérationnelle nécessaire pour revenir à des procédés manuels.
  • Qu'une communication directe en conférence de presse par le directeur financier ou le PDG pendant le premier jour d'un incident actif est bénéfique sur le plan réputationnel. La confiance des clients de Hydro ne s'est pas effondrée ; le cours de son action s'est rétabli en quelques semaines ; la marque de l'entreprise est ressortie renforcée plutôt que ternie.
  • Que les procédures opérationnelles héritées comptent : Hydro a pu revenir au papier parce que les procédures existaient toujours et que les employés plus âgés les connaissaient encore. Les organisations ayant entièrement éliminé les procédures de repli manuelles ne peuvent reproduire cette réponse.
  • Que la couverture d'assurance des événements de rançongiciel est structurellement limitée. La perte de 75 M$ de Hydro face à une couverture de 3,6 M$ est un ratio représentatif des polices cyber du début 2019 et un moteur clé de la revalorisation ultérieure du marché de l'assurance.

La réponse de Hydro fait partie des lectures incontournables des formations à la communication de crise et constitue l'exemple positif le plus cité du canon. Les réponses transparentes ultérieures de Maersk (NotPetya), du HSE Ireland (Conti), de Royal Mail (LockBit) et de Medibank (affilié à REvil) ont toutes explicitement cité Hydro comme leur modèle de référence.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
75.0M
USD · 75 000 000 $US
  • Perte d’exploitation$65.0M
  • Remédiation$10.0M

Chronologie

  1. Les opérateurs de LockerGoga établissent un accès initial à Norsk Hydro via le spearphishing d'un employé de Hydro en Norvège. L'e-mail de phishing contient une pièce jointe de facture trojanisée qui dépose une balise Cobalt Strike.

  2. Les opérateurs restent présents sur le réseau de Hydro pendant environ trois mois, collectant des identifiants et cartographiant l'environnement. Compte administrateur de domaine obtenu ; Active Directory compromis.

  3. Le déploiement de LockerGoga commence. Le maliciel se propage via SMB et Active Directory, chiffrant les fichiers sur les endpoints et serveurs Windows à travers le parc informatique mondial de Hydro.

  4. L'équipe des opérations informatiques de Hydro à Oslo découvre le chiffrement en cours. Hydro prend la décision inhabituelle de déconnecter immédiatement tous les systèmes informatiques mondiaux pour stopper la propagation.

  5. Hydro confirme publiquement la cyberattaque lors d'une conférence de presse télévisée tenue dans le hall de Hydro. Le directeur financier Eivind Kallevik s'exprime avec transparence sur l'impact et sur l'intention de Hydro de ne pas payer.

  6. Les activités de Hydro basculent vers des procédés manuels. Les fonderies d'aluminium en Norvège poursuivent leur production selon des procédures de secours ; les usines d'extrusion en Europe et en Amérique du Nord reviennent au traitement des commandes sur papier.

  7. Hydro restaure progressivement ses systèmes informatiques usine par usine à partir de sauvegardes hors ligne. L'assurance couvre environ 3,6 M$ ; l'essentiel du coût n'est pas assuré.

  8. Hydro estime le coût total à environ 800 M NOK (~75 M$ US) pour l'année civile.

  9. Le DOJ américain rend public un acte d'accusation contre le ressortissant ukrainien Volodymyr Tymoshchuk (« Deus ») pour les opérations LockerGoga et MegaCortex ; Tymoshchuk reste en fuite.

Sources

  1. hydro.comhttps://www.hydro.com/en/media/news/2019/cyber-attack-on-hydro/
  2. bbc.comhttps://www.bbc.com/news/business-48661152
  3. nrk.nohttps://www.nrk.no/dokumentar/xl/her-er-historien-om-en-cyberkrise-i-norge-1.15212017

Incidents liés

RançongicielContenu

Rançongiciel DoppelPaymer chez Pemex (Mexique, 2019)

Le rançongiciel DoppelPaymer a paralysé les systèmes informatiques d'entreprise de la compagnie pétrolière publique mexicaine Pemex, gelant pendant des semaines paiements et communications. Les attaquants exigeaient 565 BTC (~5 M$). Pemex a refusé de payer ; le coût total de remédiation a atteint environ 71 millions de dollars.

Victim
Petróleos Mexicanos (Pemex)
Loss
$71.0M
RançongicielRésolu

Attaque par rançongiciel contre Demant

Un incident cyber de type rançongiciel a contraint le géant danois des aides auditives Demant à arrêter ses systèmes informatiques dans le monde entier, paralysant la production et le traitement des commandes et causant une perte estimée jusqu'à 95 millions de dollars — l'un des événements de rançongiciel les plus coûteux jamais enregistrés.

Victim
Demant
Loss
$95.0M
RançongicielContenu

Fuite par rançongiciel Nitrogen chez Foxconn (2026)

Le groupe de rançongiciel Nitrogen a affirmé sur son site de fuite du dark web avoir volé plus de 11 millions de fichiers dans les installations nord-américaines de Foxconn, dont des informations confidentielles appartenant aux clients Apple, Dell, Google, Intel, Nvidia et Sony. Foxconn a déclaré que les usines concernées reprenaient une production normale.

Victim
Foxconn (Hon Hai Precision Industry)
RançongicielEn cours

Erla Technologies : une fuite de données revendiquée par un ransomware

Le 5 mai 2026, le groupe de ransomware SpaceBears a inscrit le fabricant français d'équipements industriels Erla Technologies SAS sur son site de fuites, affirmant avoir dérobé des données personnelles d'employés et de clients, des documents financiers et des fichiers projets — dont de la documentation liée à un client de l'armée française.

Victim
Erla Technologies