Skip to content
Cyber Breaches
Recherche
RançongicielRésolu

Attaque par rançongiciel REvil contre BancoEstado

Le rançongiciel REvil (Sodinokibi) a chiffré environ 14 000 postes de travail de BancoEstado, l'une des plus grandes banques du Chili, la contraignant à fermer toutes ses agences du pays pendant une journée, tandis que les distributeurs, la banque en ligne et les fonds des clients restaient préservés grâce à la segmentation du réseau.

Victime
BancoEstado
SecteurFinance
PaysChili
GroupeOpération de rançongiciel REvil (Sodinokibi)

En septembre 2020, BancoEstado, banque publique qui figure parmi les trois plus grandes institutions financières du Chili, a été contrainte de fermer toutes ses agences du pays après que le rançongiciel REvil (Sodinokibi) eut chiffré une grande partie de son réseau interne.

Ce qui s'est passé

L'intrusion a débuté au cours du week-end des 4 et 5 septembre 2020, lorsqu'un employé de la banque a ouvert un document Microsoft Office malveillant, vraisemblablement diffusé par un leurre d'hameçonnage, qui a installé une porte dérobée. Les affiliés de REvil ont utilisé ce point d'entrée pour se déplacer latéralement et déployer la charge utile du rançongiciel Sodinokibi sur les systèmes internes de la banque.

Au moment de sa détection, le logiciel malveillant avait chiffré environ 14 000 postes de travail et serveurs, selon l'équipe gouvernementale de réponse aux incidents de sécurité informatique du Chili (CSIRT). Le lundi 7 septembre, BancoEstado a pris la mesure spectaculaire de fermer toutes ses agences du pays pour la journée, le temps d'évaluer les dégâts et de reconstruire les systèmes.

Un confinement par segmentation

Fait crucial, l'attaque est restée largement confinée au réseau d'entreprise interne de la banque. Grâce à la segmentation du réseau, l'infrastructure tournée vers les clients — le site web public, le portail de banque en ligne, les applications mobiles et le réseau de distributeurs — est restée opérationnelle et indemne. Les enquêteurs ont confirmé que les fonds des clients n'ont jamais été menacés et qu'aucun argent de la clientèle n'a été perdu.

Les agences ont rouvert le lendemain, 8 septembre, certaines fonctionnant toutefois avec des services réduits tandis que les systèmes étaient progressivement restaurés.

Conséquences

  • Environ 14 000 machines internes ont été chiffrées.
  • Toutes les agences de BancoEstado au Chili ont fermé pendant une journée (environ 24 heures d'interruption des agences).
  • Les canaux destinés aux clients (distributeurs, banque en ligne et mobile) sont restés en service ; aucun fonds de client n'a été perdu.
  • Le CSIRT chilien a émis une alerte nationale de cybersécurité aux autres banques et organismes publics, avertissant de l'activité de REvil.

Pourquoi c'est important

L'incident BancoEstado est devenu l'événement de rançongiciel le plus marquant du Chili et une étude de cas régionale sur la valeur de la segmentation du réseau. Si la perturbation opérationnelle — la fermeture de tout un réseau national d'agences — fut grave, la séparation entre l'informatique de gestion et les systèmes bancaires centraux a évité un dénouement bien pire, dans lequel les paiements ou les soldes des clients auraient pu être compromis. REvil/Sodinokibi était alors l'une des opérations de rançongiciel-as-a-service les plus agressives au monde, et l'attaque a poussé les régulateurs chiliens et le secteur financier à accélérer les investissements dans la segmentation, la détection sur les terminaux et la résilience à l'hameçonnage. Elle demeure l'exemple canonique cité dans la politique de cybersécurité chilienne pour montrer que l'architecture, plus que la seule défense périmétrique, détermine le rayon d'impact d'une intrusion par rançongiciel.

Chronologie

  1. Un employé ouvre un document Microsoft Office malveillant, offrant aux affiliés de REvil un point d'entrée initial et une porte dérobée sur le réseau de la banque.

  2. Au cours du week-end, le rançongiciel se propage et chiffre environ 14 000 postes de travail et serveurs internes.

  3. BancoEstado ferme toutes ses agences du pays pour la journée afin de contenir l'attaque et d'enquêter.

  4. La banque rouvre ses agences ; distributeurs, site web, application mobile et fonds des clients restent intacts grâce à la segmentation du réseau.

  5. Le CSIRT gouvernemental chilien confirme REvil/Sodinokibi et émet une alerte nationale aux autres institutions publiques et financières.

Sources

  1. securityaffairs.comhttps://securityaffairs.com/108014/cyber-crime/bancoestado-ransomware.html
  2. blog.elhacker.nethttps://blog.elhacker.net/2020/09/banco-de-estado-chile-victima-de-ransomware-Revil-Sodinokibi.html
  3. manageengine.comhttps://www.manageengine.com/log-management/ransomware-attacks/bancoestado-shuts-down-after-ransomware-attack.html
  4. cybersecurity-help.czhttps://www.cybersecurity-help.cz/blog/1571.html

Incidents liés

RançongicielRésolu

Compromission de l'assureur Shirbit par Black Shadow

Le groupe Black Shadow a compromis l'assureur israélien Shirbit, dérobant cartes d'identité, passeports, documents financiers et médicaux, et exigeant une rançon en bitcoin grimpant jusqu'à un million de dollars. Devant le refus de Shirbit, les attaquants ont divulgué les données clients par étapes.

Victim
Shirbit Insurance
RançongicielEn cours

Fuite chez La Centrale du Financement

Un pirate a exfiltré environ 387 Go de données (quelque 411 000 fichiers) du réseau du courtier en crédit et en prêt immobilier La Centrale de Financement, exposant des documents KYC, financiers et internes très sensibles, puis a mis le lot en vente après l'échec de négociations d'extorsion.

Victim
La Centrale du Financement
RançongicielEn cours

Fuite chez Harvest

Harvest, éditeur français de logiciels de gestion de patrimoine, a été victime d'une attaque par rançongiciel à double extorsion du groupe Run Some Wares, révélée en avril 2025 ; des fichiers internes et clients ont été exfiltrés et publiés, exposant des données de dizaines de milliers de personnes et de milliers d'entreprises.

Victim
Harvest