Le groupe pétrolier Marquard & Bahls n’est pas le seul touché par la cyberattaque du 29 janvier dernier. SEA-Invest en Belgique et Evos aux Pays-Bas déclarent avoir eu des dizaines de terminaux attaqués.

En Belgique, le parquet d’Anvers déclare enquêter sur la cyberattaque qui a touché les terminaux de SEA-Invest, y compris le plus important de la société portuaire à Anvers, appelé SEA-Tank.

Un porte-parole d’Evos a confié à la BBC que les pannes des services informatiques des terminaux de Terneuzen, Gand et Malte ont « provoqué quelques retards d’exécution ».

Les experts en cybersécurité mettent en garde contre le fait de tirer des conclusions hâtives : il ne s’agit pas forcément d’un effort coordonné visant à perturber le secteur énergétique européen.

« Certains types de logiciels malveillants récupèrent les courriels et les listes de contacts et les utilisent pour envoyer automatiquement des pièces jointes ou des liens malveillants, de sorte que les entreprises ayant des connexions communes peuvent parfois être touchées en succession rapide », déclare Brett Callow, analyste chez Emsisoft.

Une autre explication possible pourrait être que ces entreprises utilisent le même logiciel pour leurs opérations, qui pourrait avoir été compromis par les pirates.

Selon Bernard Montel, directeur technique EMEA de Tenable, « le scénario le plus probable est que les attaquants travaillent à partir d’une base de données contenant des cibles similaires et que leurs efforts font mouche ». Et d’ajouter : « Bien qu’il faille des mois pour déterminer les détails complexes d’une attaque, les premiers rapports suggèrent que BlackCat, qui serait une nouvelle marque de BlackMatter, pourrait être responsable de ces attaques en Europe. En parallèle, KP Foods a également été la victime d’un ransomware : Conti est accusé d’en être à l’origine. Ce que nous savons de ces deux groupes de pirates, c’est qu’ils exploitent un modèle commercial de ransomware-as-a-service (RaaS). Cela signifie qu’il s’agit d’un crime organisé avec des bases de données de victimes et de nombreux affiliés qui n’ont aucune allégeance à un groupe de ransomware particulier et s’associent souvent à plusieurs d’entre eux, en exploitant de puissants robots pour automatiser la diffusion du malware. »