Attaque par rançongiciel contre Swissport

Le 3 février 2022, Swissport International — le plus grand prestataire mondial d'assistance au sol aéroportuaire et de fret aérien, présent dans des centaines d'aéroports d'environ 45 pays — a été frappé par un rançongiciel. Le gang BlackCat (ALPHV) a revendiqué par la suite l'attaque et divulgué 1,6 To de données volées, dans une attaque qui a brièvement eu des répercussions sur les opérations de vol à l'aéroport de Zurich.

Ce qui s'est passé

Le rançongiciel a frappé l'infrastructure informatique de Swissport le 3 février. L'entreprise a signalé publiquement l'incident le 4 février, indiquant que certaines parties de ses systèmes informatiques étaient touchées et que les appareils compromis avaient été mis hors ligne. Les perturbations de l'assistance au sol ont provoqué 22 retards de vols à l'aéroport de Zurich, bien que l'impact opérationnel soit resté limité car le personnel a eu recours à des solutions manuelles et à des systèmes redondants.

Swissport a indiqué avoir maîtrisé l'incident en environ 48 heures. Le 14 février 2022, l'opération de rançongiciel BlackCat (ALPHV) — un groupe russophone issu de la lignée DarkSide/BlackMatter à l'origine de l'attaque de Colonial Pipeline en 2021 — a revendiqué l'atteinte et publié un échantillon de fichiers volés sur son site de fuite.

Impact

22 vols ont été retardés à l'aéroport de Zurich le jour de l'attaque ; les opérations d'assistance au sol plus larges ont été dégradées pendant environ 48 heures.
BlackCat a affirmé avoir volé et mis en fuite 1,6 To de données.
L'échantillon divulgué comprenait des informations personnelles et RH, telles que des dossiers de candidats à l'emploi, des scans de passeport et d'autres pièces d'identité — un cas classique de double extorsion combinant chiffrement et vol de données.

Réponse

Swissport a activé ses procédures de continuité d'activité, isolé les systèmes affectés et rétabli ses opérations en quelques jours. L'entreprise a travaillé avec des intervenants externes en réponse à incident et coopéré avec les autorités. Elle a publiquement déclaré que les opérations de vol n'avaient pas été affectées de manière significative au-delà des retards initiaux et qu'elle n'avait aucune indication d'une compromission opérationnelle plus large.

Pourquoi c'est important

L'attaque de Swissport a souligné la fragilité systémique des chaînes d'approvisionnement de l'aviation : parce que les agents d'assistance au sol se situent au cœur opérationnel de dizaines de compagnies aériennes et d'aéroports, même une intrusion rapidement maîtrisée peut se répercuter en retards de vols sur tout un hub. Survenant quelques semaines après des perturbations par rançongiciel dans des terminaux pétroliers européens, elle est devenue un cas de référence sur la manière dont le modèle d'affiliés BlackCat/ALPHV ciblait les opérateurs d'infrastructures critiques, et elle a renforcé les appels à une plus grande résilience des tiers et des technologies opérationnelles dans tout le secteur du transport aérien.

Chronologie

3 février 2022

L'infrastructure informatique de Swissport est frappée par un rançongiciel, perturbant les opérations d'assistance au sol.

4 février 2022

Swissport signale l'incident et met hors ligne les systèmes affectés ; 22 vols sont retardés à l'aéroport de Zurich.

6 février 2022

Swissport indique que l'attaque a été largement maîtrisée en environ 48 heures grâce à des procédures de secours manuelles.

14 février 2022

Le gang BlackCat (ALPHV) revendique l'attaque et commence à divulguer 1,6 To de données volées, dont des données personnelles et RH.

Sources

bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/blackcat-alphv-claims-swissport-ransomware-attack-leaks-data/

computerweekly.comhttps://www.computerweekly.com/news/252513488/BlackCat-ransomware-gang-claims-responsibility-for-Swissport-attack

pentasecurity.comhttps://www.pentasecurity.com/blog/security-weekly-swissport-alphv-blackcat-ransomware/

cds.thalesgroup.comhttps://cds.thalesgroup.com/en/node/120

Incidents liés

Rançongicielinvestigated23 mai 2023

Attaque par rançongiciel contre Xplain et fuite de données fédérales suisses

Le gang de rançongiciel Play a compromis le fournisseur informatique suisse Xplain et a divulgué environ 65 000 documents sur le darknet, dont des fichiers sensibles de l'Administration fédérale provenant des départements de la justice, de la police et de la défense.

Victim: Xplain AG
Records: 65.0K

RançongicielContenu23 mai 2023

Rançongiciel Play chez Xplain et fuite de documents fédéraux suisses (2023)

Le rançongiciel Play a compromis le prestataire suisse de services informatiques Xplain, exfiltrant 1,3 million de fichiers. Environ 65 000 documents appartenant à l'Administration fédérale suisse — y compris des contenus classifiés, des données personnelles et des mots de passe lisibles — ont été publiés sur le site de fuite de Play sur le dark web en juin 2023.

Victim: Xplain (prestataire suisse de services informatiques de l'Administration fédérale)
Records: 1.3M

RançongicielRésolu7 juillet 2021

Attaque par rançongiciel contre Comparis

Le portail suisse de comparaison de prix Comparis a été mis hors ligne par un rançongiciel et a fait face à une demande d'environ 400 000 dollars ; les enquêteurs ont ensuite constaté que les attaquants avaient accédé à certaines données internes de clients.

Victim: Comparis

RançongicielRésolu18 décembre 2022

Attaque par rançongiciel de l'hôpital SickKids

L'Hôpital pour enfants malades de Toronto a été frappé par une attaque par rançongiciel durant les fêtes de décembre 2022, retardant les résultats de laboratoire et d'imagerie ; fait rare, le gang LockBit a présenté ses excuses, a blâmé un affilié rebelle et a fourni un déchiffreur gratuit.

Victim: The Hospital for Sick Children (SickKids)