Rançongiciel « Death Kitty » contre Transnet (Afrique du Sud, 2021)

Une attaque par rançongiciel contre Transnet, l'entreprise logistique publique sud-africaine, a paralysé les opérations des terminaux à conteneurs de Durban, Ngqura, Port Elizabeth et Le Cap, contraignant l'opérateur à déclarer la force majeure. Durban — 60 % du trafic conteneurisé d'Afrique australe — est revenu à un dédouanement papier pendant une semaine.

Le 22 juillet 2021, Transnet — l'opérateur public du fret ferroviaire et des principaux ports maritimes d'Afrique du Sud — a été frappé par une attaque par rançongiciel suffisamment grave pour contraindre l'entreprise à déclarer la force majeure dans les terminaux à conteneurs du pays. Durban, Ngqura, Port Elizabeth et Le Cap ont tous cessé de fonctionner normalement.

Ce qui s'est passé

La famille de rançongiciels a été identifiée par les chercheurs comme appartenant à la grappe « Death Kitty » / « HelloKitty » / « Five Hands » — des opérations criminelles qui se recoupent, vraisemblablement d'origine russe ou est-européenne. Les systèmes d'exploitation des terminaux à conteneurs de Transnet ont été désactivés, ainsi qu'une grande partie de son informatique d'entreprise.

Le repli opérationnel a été frappant : les dockers sont revenus à un suivi manuel des mouvements de navires et à un dédouanement papier. À Durban, qui gère environ 60 % du trafic conteneurisé d'Afrique australe, les délais de traitement des importations ont augmenté substantiellement. Transnet a déclaré la force majeure dans les terminaux à conteneurs de Durban, Ngqura, Port Elizabeth et Le Cap — libérant l'opérateur de ses obligations contractuelles en raison d'une perturbation extraordinaire.

La restauration a nécessité environ une semaine de travail intense. Deux semaines plus tard, le ministre des entreprises publiques a déclaré que 90 % des systèmes informatiques avaient été entièrement restaurés et sécurisés.

Impact

Opérations conteneurs perturbées à Durban, Ngqura, Port Elizabeth et Le Cap.
Force majeure déclarée dans les principaux ports sud-africains.
Retour au dédouanement papier manuel pendant environ une semaine.
Perturbation économique régionale substantielle : Durban gère à elle seule environ 60 % du trafic conteneurisé d'Afrique australe.

Pourquoi cela compte

Transnet est le cas de référence pour les rançongiciels visant les infrastructures critiques en Afrique subsaharienne. Il démontre que même un grand opérateur public exploitant des terminaux à conteneurs modernes peut être réduit à la logistique papier-crayon en moins de 24 heures, et que l'effet en cascade peut priver de services non seulement un pays, mais l'ensemble du commerce d'une région.

Chronologie

22 juillet 2021

Transnet détecte une attaque par rançongiciel et désactive ses systèmes informatiques, interrompant les opérations dans tous les principaux terminaux à conteneurs sud-africains.

23 juillet 2021

Transnet déclare la force majeure dans les terminaux à conteneurs des ports de Durban, Ngqura, Port Elizabeth et Le Cap.

24 juillet 2021

Les dockers suivent manuellement les mouvements de navires et dédouanent les marchandises au moyen de procédures papier ; les délais de traitement à Durban — qui gère 60 % du trafic conteneurisé d'Afrique australe — augmentent substantiellement.

29 juillet 2021

Les chercheurs relient le maliciel aux familles « Death Kitty » / « HelloKitty » / « Five Hands », vraisemblablement originaires de Russie ou d'Europe de l'Est.

1 août 2021

La plupart des systèmes TIC et des opérations portuaires sont rétablis en une semaine ; la force majeure est levée. Le ministre des entreprises publiques déclare que 90 % des systèmes informatiques sont restaurés et sécurisés.

Sources

en.wikipedia.orghttps://en.wikipedia.org/wiki/Transnet_ransomware_attack

bloomberg.comhttps://www.bloomberg.com/news/articles/2021-07-29/-death-kitty-ransomware-linked-to-attack-on-south-african-ports

securityaffairs.comhttps://securityaffairs.com/120596/cyber-crime/transnet-soc-cyber-attack.html

issafrica.orghttps://issafrica.org/iss-today/cyber-attacks-expose-the-vulnerability-of-south-africas-ports

resilientmaritimelogistics.unctad.orghttps://resilientmaritimelogistics.unctad.org/guidebook/case-study-17-port-durban-south-africa

Incidents liés

RançongicielContenu9 février 2021

Rançongiciel HelloKitty et vol de code source chez CD Projekt Red (2021)

Le rançongiciel HelloKitty a chiffré des appareils de CD Projekt Red et exfiltré le code source de Cyberpunk 2077, The Witcher 3, Gwent et d'une version inédite de The Witcher 3. CDPR a refusé de payer ; les données ont été vendues aux enchères et auraient été cédées à un acheteur privé.

Victim: CD Projekt Red

RançongicielContenu14 mai 2021

Rançongiciel Conti contre HSE Irlande — arrêt national du système de santé (2021)

Les opérateurs de Conti ont piégé un utilisateur du HSE pour qu'il télécharge une pièce jointe Excel malveillante ; le rançongiciel qui en a résulté a contraint le Health Service Executive à arrêter tous les systèmes informatiques de santé en Irlande et a exfiltré 700 Go de données, dont des informations médicales sur la vaccination COVID-19. Le coût de la remise en état a dépassé 100 millions d'euros.

Victim: Service de santé exécutif (HSE) d'Irlande
Loss: $110.0M

RançongicielRançon payée7 mai 2021

Rançongiciel Colonial Pipeline (DarkSide)

Un mot de passe VPN réutilisé a permis à DarkSide de chiffrer les systèmes de facturation de Colonial Pipeline. L’opérateur a arrêté 5 500 miles de pipeline pendant six jours, payé 4,4 M$, et déclenché une urgence fédérale.

Victim: Colonial Pipeline Company
Loss: $4.4M

RançongicielInconnu24 mai 2026

La mairie d’Eyguières paralysée par un ransomware

La mairie d’Eyguières, commune d’environ 7 000 habitants située dans les Alpilles, a été victime d’une cyberattaque au ransomware ce vendredi 22 mai 2026.

Victim: La mairie d’Eyguières