Skip to content
RançongicielContenu

Rançongiciel « Death Kitty » contre Transnet (Afrique du Sud, 2021)

Une attaque par rançongiciel contre Transnet, l'entreprise logistique publique sud-africaine, a paralysé les opérations des terminaux à conteneurs de Durban, Ngqura, Port Elizabeth et Le Cap, contraignant l'opérateur à déclarer la force majeure. Durban — 60 % du trafic conteneurisé d'Afrique australe — est revenu à un dédouanement papier pendant une semaine.

Victime
Transnet SOC (opérateur public de fret et de ports)

Le 22 juillet 2021, Transnet — l'opérateur public du fret ferroviaire et des principaux ports maritimes d'Afrique du Sud — a été frappé par une attaque par rançongiciel suffisamment grave pour contraindre l'entreprise à déclarer la force majeure dans les terminaux à conteneurs du pays. Durban, Ngqura, Port Elizabeth et Le Cap ont tous cessé de fonctionner normalement.

Ce qui s'est passé

La famille de rançongiciels a été identifiée par les chercheurs comme appartenant à la grappe « Death Kitty » / « HelloKitty » / « Five Hands » — des opérations criminelles qui se recoupent, vraisemblablement d'origine russe ou est-européenne. Les systèmes d'exploitation des terminaux à conteneurs de Transnet ont été désactivés, ainsi qu'une grande partie de son informatique d'entreprise.

Le repli opérationnel a été frappant : les dockers sont revenus à un suivi manuel des mouvements de navires et à un dédouanement papier. À Durban, qui gère environ 60 % du trafic conteneurisé d'Afrique australe, les délais de traitement des importations ont augmenté substantiellement. Transnet a déclaré la force majeure dans les terminaux à conteneurs de Durban, Ngqura, Port Elizabeth et Le Cap — libérant l'opérateur de ses obligations contractuelles en raison d'une perturbation extraordinaire.

La restauration a nécessité environ une semaine de travail intense. Deux semaines plus tard, le ministre des entreprises publiques a déclaré que 90 % des systèmes informatiques avaient été entièrement restaurés et sécurisés.

Impact

  • Opérations conteneurs perturbées à Durban, Ngqura, Port Elizabeth et Le Cap.
  • Force majeure déclarée dans les principaux ports sud-africains.
  • Retour au dédouanement papier manuel pendant environ une semaine.
  • Perturbation économique régionale substantielle : Durban gère à elle seule environ 60 % du trafic conteneurisé d'Afrique australe.

Pourquoi cela compte

Transnet est le cas de référence pour les rançongiciels visant les infrastructures critiques en Afrique subsaharienne. Il démontre que même un grand opérateur public exploitant des terminaux à conteneurs modernes peut être réduit à la logistique papier-crayon en moins de 24 heures, et que l'effet en cascade peut priver de services non seulement un pays, mais l'ensemble du commerce d'une région.

Chronologie

  1. Transnet détecte une attaque par rançongiciel et désactive ses systèmes informatiques, interrompant les opérations dans tous les principaux terminaux à conteneurs sud-africains.

  2. Transnet déclare la force majeure dans les terminaux à conteneurs des ports de Durban, Ngqura, Port Elizabeth et Le Cap.

  3. Les dockers suivent manuellement les mouvements de navires et dédouanent les marchandises au moyen de procédures papier ; les délais de traitement à Durban — qui gère 60 % du trafic conteneurisé d'Afrique australe — augmentent substantiellement.

  4. Les chercheurs relient le maliciel aux familles « Death Kitty » / « HelloKitty » / « Five Hands », vraisemblablement originaires de Russie ou d'Europe de l'Est.

  5. La plupart des systèmes TIC et des opérations portuaires sont rétablis en une semaine ; la force majeure est levée. Le ministre des entreprises publiques déclare que 90 % des systèmes informatiques sont restaurés et sécurisés.

Sources

  1. en.wikipedia.orghttps://en.wikipedia.org/wiki/Transnet_ransomware_attack
  2. bloomberg.comhttps://www.bloomberg.com/news/articles/2021-07-29/-death-kitty-ransomware-linked-to-attack-on-south-african-ports
  3. securityaffairs.comhttps://securityaffairs.com/120596/cyber-crime/transnet-soc-cyber-attack.html
  4. issafrica.orghttps://issafrica.org/iss-today/cyber-attacks-expose-the-vulnerability-of-south-africas-ports
  5. resilientmaritimelogistics.unctad.orghttps://resilientmaritimelogistics.unctad.org/guidebook/case-study-17-port-durban-south-africa

Incidents liés

RançongicielEn cours

Fuite chez Organisme pour la Sécurité de l’Aviation Civile

En février 2026, le groupe d'extorsion LAPSUS$ a revendiqué le vol d'environ 420 Go de données de l'OSAC (Organisme pour la Sécurité de l'Aviation Civile), dont cartes d'identité, passeports, diplômes, justificatifs de domicile et documents internes ; les données ont ensuite été intégralement diffusées.

Victim
Organisme pour la Sécurité de l’Aviation Civile
RançongicielRésolu

Cyberattaque du système de santé de Terre-Neuve-et-Labrador

Une attaque par rançongiciel Hive contre le réseau de soins de santé de Terre-Neuve-et-Labrador a paralysé les systèmes informatiques à l'échelle de la province, forçant l'annulation de milliers de rendez-vous et d'interventions dans ce que les responsables ont qualifié de pire cyberattaque de l'histoire du Canada.

Victim
Newfoundland and Labrador Centre for Health Information / Eastern Health