Attaque par rançongiciel RansomHub contre RECOPE

Le 27 novembre 2024, veille de Thanksgiving aux États-Unis, le raffineur et distributeur public de carburant du Costa Rica, RECOPE (Refinadora Costarricense de Petróleo), a été frappé par le rançongiciel RansomHub. L'attaque a mis hors service les systèmes numériques de vente et de paiement de carburant, obligeant l'entreprise à gérer l'approvisionnement du pays à la main.

Ce qui s'est passé

Les enquêteurs ont établi que l'intrusion avait commencé par un courriel d'hameçonnage qui a donné aux attaquants un premier point d'ancrage. Ils sont ensuite restés présents sur le réseau de RECOPE pendant plusieurs mois avant de déclencher le rançongiciel, chiffrant les systèmes qui contrôlent le traitement des paiements et la logistique d'expédition du carburant.

Privée de sa colonne vertébrale numérique, RECOPE est passée à des opérations entièrement manuelles. Le personnel des terminaux a prolongé ses horaires tard dans la nuit pour maintenir la circulation des camions-citernes — environ 203 camions de carburant ont été remplis pendant la première phase de réponse — mais le fonctionnement manuel a ralenti les livraisons et causé des retards d'approvisionnement dans les stations-service du pays.

La réponse américaine FALCON

L'incident RECOPE est devenu le premier déploiement opérationnel du nouveau programme FALCON du département d'État américain — Foreign Assistance Leveraged for Cybersecurity Operational Needs. Conçu pour envoyer en renfort des experts auprès de nations alliées confrontées à de graves cyberattaques, FALCON avait du personnel à San José en environ 36 heures, arrivé l'après-midi de Thanksgiving.

L'équipe a aidé RECOPE à enquêter sur la compromission, à expulser l'acteur du rançongiciel, à restaurer les données à partir des sauvegardes, à remettre les systèmes en ligne et à les durcir contre de futures attaques. Elle a travaillé sur place environ 10 jours, suivis d'un soutien à distance jusqu'à la mi-décembre. L'opération a mobilisé environ 500 000 dollars sur le budget d'environ 10 millions de dollars de FALCON.

Attribution et rançon

RansomHub — à l'époque l'une des marques de rançongiciel-as-a-service les plus prolifiques — a revendiqué l'attaque, réclamant environ 5 millions de dollars et menaçant de mettre aux enchères les données volées sur le dark web. Conformément à la ligne dure du Costa Rica depuis les attaques Conti et Hive de 2022, le gouvernement a refusé de payer.

Pourquoi c'est important

RECOPE a confirmé que l'énergie et la logistique des carburants sont des cibles privilégiées des rançongiciels : même lorsque le raffinage se poursuit, la perte de la couche informatique de paiement et d'expédition peut étrangler la distribution de carburant d'un pays. L'épisode a aussi marqué un tournant dans l'assistance internationale en cybersécurité — les débuts de FALCON ont montré comment les États-Unis pouvaient rapidement projeter une capacité de réponse aux incidents vers un pays partenaire en crise, un modèle façonné directement par les épreuves antérieures du Costa Rica, victime répétée de groupes de rançongiciels tolérés par des États.

Chronologie

1 janvier 2024

Les attaquants obtiennent un accès initial à RECOPE via un courriel d'hameçonnage et restent présents sur le réseau pendant plusieurs mois.

27 novembre 2024

À la veille de Thanksgiving aux États-Unis, le rançongiciel est déployé et les systèmes numériques de vente et de paiement de carburant de RECOPE sont mis hors service.

28 novembre 2024

RECOPE passe à une distribution de carburant entièrement manuelle ; l'équipe de réponse américaine FALCON arrive sur place en environ 36 heures.

1 novembre 2024

RansomHub revendique l'attaque et réclame environ 5 millions de dollars, menaçant de vendre les données volées ; le Costa Rica refuse de payer.

1 décembre 2024

L'équipe FALCON travaille sur place environ 10 jours, restaure les systèmes à partir des sauvegardes et les durcit, puis poursuit un soutien à distance jusqu'à la mi-décembre.

Sources

therecord.mediahttps://therecord.media/costa-rica-state-energy-company-ransomware

therecord.mediahttps://therecord.media/state-department-falcon-cyber-response-costa-rica-recope

icsstrive.comhttps://icsstrive.com/incident/costa-rica-recope-switches-to-manual-operations/

ticotimes.nethttps://ticotimes.net/2024/11/29/major-cyberattack-disrupts-costa-rica-recope-digital-systems

Incidents liés

RançongicielContenu21 août 2024

Attaque RansomHub contre Halliburton (2024)

RansomHub a obtenu l'accès aux systèmes de Halliburton, conduisant le géant des services pétroliers à mettre des infrastructures hors ligne. L'incident a retardé la facturation et les bons de commande, et Halliburton a comptabilisé une perte de 35 millions de dollars dans ses dépôts SEC.

Victim: Halliburton
Loss: $35.0M

RançongicielRançon payée21 février 2024

Rançongiciel Change Healthcare (ALPHV/BlackCat)

ALPHV/BlackCat a compromis Change Healthcare via un portail Citrix sans MFA, paralysé les remboursements d’ordonnances aux États-Unis pendant des semaines et exfiltré les données d’environ 100 millions de personnes.

Victim: Change Healthcare (UnitedHealth Group)
Loss: $2.87B
Records: 100.0M

RançongicielInconnu1 avril 2025

Attaque par rançongiciel contre delta-life.com (RansomHub, 2025)

delta-life.com a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel RansomHub le 1 avril 2025.

Victim: delta-life.com

RançongicielInconnu1 avril 2025

Attaque par rançongiciel contre europtec.com (RansomHub, 2025)

europtec.com a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel RansomHub le 1 avril 2025.

Victim: europtec.com