Attaque par rançongiciel Hive contre Rompetrol

Le soir du 6 mars 2022, Rompetrol — la filiale roumaine du grand pétrolier d'État kazakh KMG International et exploitant de Petromidia Navodari, la plus grande raffinerie de Roumanie — a été frappée par une attaque par rançongiciel. Le gang Hive a revendiqué l'attaque et exigé une rançon de 2 millions de dollars, dans l'une des frappes les plus marquantes contre l'infrastructure énergétique critique roumaine.

Ce qui s'est passé

L'attaque a été détectée vers 21h00 heure locale et a rapidement mis hors service la plupart des services informatiques de Rompetrol. Les sites web de l'entreprise (KMG et Rompetrol) sont devenus inaccessibles, et le service automatisé de paiement de carburant Fill&Go — utilisé par les flottes comme par les particuliers dans les stations-service — est devenu indisponible.

Rompetrol a publiquement qualifié l'incident de « cyberattaque complexe ». Les enquêteurs ont identifié l'opération de rançongiciel-as-a-service Hive, qui a exigé 2 millions de dollars en échange d'un déchiffreur et de la promesse de ne pas publier les données volées. Hive a ensuite inscrit le domaine Rompetrol.org sur son portail de négociation du dark web, indiquant qu'une exfiltration de données avait eu lieu avant le chiffrement.

Impact

Les services informatiques et numériques ont été largement perturbés : sites web, service Fill&Go et systèmes internes.
Les stations-service ont continué de fonctionner tout du long, acceptant manuellement les paiements en espèces et par carte.
Les attaquants auraient atteint le réseau informatique interne de la raffinerie de Petromidia, mais la production de la raffinerie s'est poursuivie — l'entreprise a déclaré que les opérations n'avaient pas été affectées.
Petromidia traite plus de cinq millions de tonnes de brut par an, fournissant une part importante du carburant roumain.

Réponse

Rompetrol a isolé les systèmes touchés et a travaillé à restaurer les services dans les jours suivants, sans confirmer si une rançon avait été payée ; aucune preuve publique de paiement n'existe. La séparation entre l'informatique de gestion (IT) et les systèmes de contrôle des procédés de la raffinerie (OT) a été le facteur décisif qui a permis à la raffinerie de continuer à fonctionner alors même que l'informatique d'entreprise était paralysée — une leçon de résilience majeure pour les exploitants énergétiques.

Pourquoi c'est important

L'attaque de Rompetrol est un cas emblématique du secteur énergétique national pour deux raisons. D'abord, elle a démontré qu'un rançongiciel peut atteindre le cœur d'une infrastructure de carburant critique tout en restant confiné à l'informatique de gestion si la segmentation OT tient. Ensuite, survenant quelques semaines après l'invasion russe de l'Ukraine, elle a aiguisé l'inquiétude dans toute l'Europe du Sud-Est quant à l'exposition des exploitants énergétiques à des groupes motivés par l'argent et potentiellement proches d'États. Hive a lui-même été démantelé en janvier 2023 lors d'une opération internationale menée par le FBI, mais le cas Rompetrol reste une référence pour la protection des raffineries et des réseaux de distribution de carburant contre l'extorsion.

Chronologie

6 mars 2022

Vers 21h00 heure locale, Rompetrol détecte une cyberattaque affectant la plupart de ses services informatiques.

7 mars 2022

L'entreprise confirme une « cyberattaque complexe » et suspend temporairement ses sites web et le service de paiement de carburant Fill&Go.

7 mars 2022

Le gang de rançongiciels Hive est identifié comme responsable, exigeant 2 millions de dollars pour un déchiffreur et pour éviter une fuite de données.

8 mars 2022

Hive inscrit Rompetrol sur son site de négociation du dark web, signe d'une exfiltration de données ; la raffinerie de Petromidia continue de fonctionner.

14 mars 2022

Rompetrol restaure progressivement ses services informatiques ; les stations-service avaient continué de fonctionner en espèces et par carte tout au long de l'incident.

Sources

bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/rompetrol-gas-station-network-hit-by-hive-ransomware/

therecord.mediahttps://therecord.media/hive-ransomware-gang-targets-romanian-oil-firm-in-its-latest-cyberattack

romania-insider.comhttps://www.romania-insider.com/petromidia-cyberattack-mar-2022

cybernews.comhttps://cybernews.com/news/romanian-gas-giant-hacked-and-held-to-ransom/

heimdalsecurity.comhttps://heimdalsecurity.com/blog/hive-ransomware-gang-impacts-rompetrol-gas-station-network/

Incidents liés

RançongicielRésolu9 décembre 2024

Attaque par rançongiciel Lynx contre Electrica Group

Le gang de rançongiciels Lynx a compromis Electrica Group, l'un des plus grands fournisseurs d'électricité de Roumanie desservant 3,8 millions d'utilisateurs, perturbant les services clients tandis que les systèmes SCADA et autres systèmes critiques du réseau étaient isolés et maintenus en service.

Victim: Electrica Group

RançongicielRésolu12 décembre 2022

Attaque par rançongiciel BlackCat contre EPM

Le gang de rançongiciel BlackCat/ALPHV a paralysé Empresas Públicas de Medellín, la plus grande entreprise publique de services de Colombie, forçant 4 000 employés à travailler hors ligne et perturbant la facturation de l'électricité, de l'eau et du gaz dans 123 municipalités.

Victim: Empresas Públicas de Medellín (EPM)

RançongicielInconnu21 avril 2026

Engie : une cyberattaque revendiquée par un groupe ransomware

En avril 2026, le groupe d'extorsion Coinbase Cartel a inscrit le géant français de l'énergie Engie sur son site de fuites, affirmant avoir volé des données sensibles et menaçant de tout publier faute de rançon ; Engie n'a pas confirmé publiquement l'intrusion.

Victim: Engie

RançongicielContenu21 août 2024

Attaque RansomHub contre Halliburton (2024)

RansomHub a obtenu l'accès aux systèmes de Halliburton, conduisant le géant des services pétroliers à mettre des infrastructures hors ligne. L'incident a retardé la facturation et les bons de commande, et Halliburton a comptabilisé une perte de 35 millions de dollars dans ses dépôts SEC.

Victim: Halliburton
Loss: $35.0M