Attaque RansomEXX contre CNT en Équateur

À la mi-juillet 2021, l'opérateur de télécommunications public équatorien Corporación Nacional de Telecomunicaciones (CNT EP) a été frappé par le gang de rançongiciel RansomEXX, perturbant les systèmes destinés aux clients et déclenchant une menace de divulgation très médiatisée.

Ce qui s'est passé

Le 16 juillet 2021, CNT a déposé une plainte formelle auprès du parquet général de l'État équatorien, qualifiant l'événement d'« attaque contre des systèmes informatiques ». Bien que l'entreprise ait évité le mot « rançongiciel », BleepingComputer a rapporté — sur la base d'un lien caché vers le site de fuite des attaquants — que l'intrusion était l'œuvre de RansomEXX, un gang ayant déjà visé les réseaux gouvernementaux du Brésil, le Texas Department of Transportation, Konica Minolta et Tyler Technologies.

La page de fuite de RansomEXX comportait un avertissement sans détour : « Votre temps est LIMITÉ ! Nous avons téléchargé plus de 190 Go de vos fichiers et nous sommes prêts à les publier. » Les attaquants ont publié des captures d'écran de listes de contacts, de contrats et de journaux de support pour étayer leur revendication.

Conséquences

Le portail de paiement en ligne de CNT et les opérations de son service client / centres d'appels ont été perturbés.
L'entreprise a déclaré que les services essentiels — téléphonie fixe, mobile, télévision par satellite et internet — continuaient de fonctionner normalement.
CNT a assuré à ses clients que les services ne seraient pas suspendus pour défaut de paiement durant la perturbation.
L'entreprise a maintenu publiquement que les données d'entreprise et des clients étaient « dûment protégées », affirmation que les captures d'écran divulguées semblaient contredire.

À propos de RansomEXX

RansomEXX a débuté sous le nom de Defray en 2018 puis s'est rebaptisé mi-2020, adoptant le modèle de double extorsion : chiffrer les systèmes des victimes tout en exfiltrant des données et en menaçant de les publier. Le groupe exploitait des chiffreurs Windows et Linux et se spécialisait dans les grandes entreprises et cibles gouvernementales — faisant d'un opérateur télécom national comme CNT une victime caractéristique.

Pourquoi c'est important

L'attaque contre CNT fait partie d'une série d'incidents majeurs de rançongiciel en Équateur en 2021 — aux côtés de l'attaque contre Banco Pichincha quelques mois plus tard — qui ont exposé la vulnérabilité des opérateurs d'infrastructures critiques du pays. En tant qu'opérateur public desservant des millions d'abonnés, la compromission de CNT a soulevé des inquiétudes quant à la sécurité des communications nationales essentielles. L'épisode a aussi illustré la tension désormais classique entre les assurances publiques de la victime (« les données sont protégées ») et les preuves de vol publiées par les attaquants, dynamique qui caractérise désormais les rançongiciels à double extorsion en Amérique latine.

Chronologie

16 juillet 2021

CNT EP dépose une plainte auprès du parquet général de l'État pour une « attaque contre des systèmes informatiques ».

16 juillet 2021

L'attaque perturbe le portail de paiement de CNT et les opérations de son service client et de ses centres d'appels.

17 juillet 2021

BleepingComputer rapporte que l'attaque a été menée par l'opération de rançongiciel RansomEXX.

17 juillet 2021

Le site de fuite de RansomEXX avertit CNT que plus de 190 Go de fichiers volés seront publiés si l'entreprise ne prend pas contact.

19 juillet 2021

CNT déclare que les services essentiels (appels, internet, télévision) fonctionnent normalement et que les données d'entreprise et clients sont « dûment protégées ».

Sources

bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/ecuadors-state-run-cnt-telco-hit-by-ransomexx-ransomware/

heimdalsecurity.comhttps://heimdalsecurity.com/blog/ransomexx-ransomware-impacts-ecuadors-corporacion-nacional-de-telecomunicaciones-cnt/

ehackingnews.comhttps://www.ehackingnews.com/2021/07/ransomexx-ransomware-hits-ecuadors.html

latesthackingnews.comhttps://latesthackingnews.com/2021/07/20/ecuador-telecom-giant-cnt-suffered-cyber-attack-ransomware-suspected/

Incidents liés

RançongicielRésolu1 août 2021

Attaque par rançongiciel de la région du Latium

Une attaque par le rançongiciel RansomEXX a chiffré le centre de données de la région italienne du Latium, mettant hors ligne pendant plusieurs jours le portail de réservation de vaccination COVID-19 et déclenchant une enquête antiterroriste.

Victim: Regione Lazio

RançongicielRésolu10 octobre 2021

Attaque par rançongiciel contre Banco Pichincha

Une intrusion par rançongiciel utilisant une balise Cobalt Strike a contraint la plus grande banque privée de l'Équateur, Banco Pichincha, à mettre hors ligne ses distributeurs, sa banque en ligne et son application mobile pendant plusieurs jours.

Victim: Banco Pichincha

RançongicielRésolu8 avril 2021

Rançongiciel chez Phone House Espagne

Le gang Babuk a compromis le distributeur de mobiles espagnol The Phone House et divulgué environ 100 Go de données clients — noms, numéros d'identité, coordonnées bancaires et de contact concernant jusqu'à 3 millions de personnes — après le refus de l'entreprise de payer.

Victim: The Phone House España
Loss: $7.0M
Records: 3.0M

RançongicielEn cours30 mars 2026

Iliad (Free) : nouvelle cyberattaque avec des données réseau en fuite

Le 30 mars 2026, le groupe d'extorsion ALP-001 a affiché le groupe télécom français Iliad (maison mère de Free) sur son site de fuite, publiant un échantillon de 5,4 Go de données d'ingénierie réseau mobile — mesures radio, tests GPS et données d'optimisation — et menaçant d'une divulgation plus large.

Victim: Iliad (Free)