Skip to content
CBCyber Breaches
Recherche
RançongicielContenu

Rançongiciel Brain Cipher (LockBit 3.0) contre le PDNS indonésien (2024)

Brain Cipher — un rançongiciel dérivé de LockBit 3.0 — a chiffré le Centre national de données temporaire (PDNS) indonésien, paralysant 282 services publics numériques pendant des semaines, de l'immigration à la délivrance des passeports. Les attaquants exigeaient 8 M$ ; le gouvernement a refusé. Brain Cipher a ensuite publié un déchiffreur gratuitement, accompagné d'excuses.

Victime
Pusat Data Nasional Sementara (PDNS), Indonésie
SecteurGouvernement
PaysIndonésie
GroupeBrain CipherLockBit

Le 20 juin 2024, Brain Cipher — une variante de rançongiciel dérivée de LockBit 3.0 — s'est activée à l'intérieur du Centre national de données temporaire (PDNS) indonésien à Surabaya. Le chiffrement a paralysé 282 services publics numériques, de l'immigration et de la délivrance des passeports aux flux de travail des administrations locales. Brain Cipher exigeait 8 millions de dollars ; le gouvernement indonésien a refusé. Deux semaines plus tard, Brain Cipher a publié sur son site de fuite une clé de déchiffrement gratuitement, accompagnée d'excuses publiques.

Ce qui s'est passé

Le PDNS constitue l'infrastructure centralisée de calcul et de données du gouvernement indonésien pour les services numériques. Lorsque le chiffrement de Brain Cipher s'est déclenché, 282 services répartis sur plusieurs agences sont passés hors ligne. Les guichets d'immigration sont revenus au traitement manuel ; les retards de vols se sont enchaînés ; les flux de travail gouvernementaux courants ont été à l'arrêt. En quelques jours, le BSSN — l'agence nationale indonésienne de cybersécurité — a identifié le logiciel malveillant comme une variante de LockBit 3.0 baptisée Brain Cipher.

Le comportement de Brain Cipher est cohérent avec la lignée LockBit : il désactive Windows Defender, supprime les Volume Shadow Copies (les instantanés de restauration système), puis chiffre. La demande de rançon s'élevait à 8 millions de dollars (~131 milliards de Rp) ; le gouvernement indonésien a refusé et le président a ordonné un audit de l'architecture nationale des centres de données.

Le dénouement inhabituel est intervenu le 2 juillet 2024 : Brain Cipher a publié sur son site de fuite une déclaration fournissant une clé de déchiffrement gratuitement au gouvernement indonésien, accompagnée d'excuses invoquant des considérations d'intérêt public. Le motif a été largement débattu — pression publique, différend interne entre affiliés LockBit ou retraite tactique — mais le résultat fut pratique : le PDNS a utilisé la clé dans le cadre d'une reprise progressive.

Les responsables ont reconnu par la suite que des données stratégiques des services de renseignement et militaires se trouvaient également dans les systèmes affectés, faisant de l'affaire non seulement une perturbation opérationnelle mais aussi un incident de sécurité nationale.

Impact

  • 282 services publics numériques hors ligne.
  • Immigration, délivrance des passeports et flux de travail des administrations locales dégradés.
  • Demande de rançon de 8 millions de dollars refusée.
  • Brain Cipher a ensuite publié un déchiffreur gratuitement.
  • Des données stratégiques des services de renseignement et militaires indonésiens reconnues comme affectées.

Pourquoi cela compte

Le PDNS constitue à ce jour le plus grand incident de rançongiciel sur un centre de données national publiquement documenté. L'affaire a soulevé en Indonésie des questions difficiles sur le risque de concentration (autant de services tournant sur une même empreinte de calcul), sur les sauvegardes (le PDNS disposait de peu de sauvegardes opérationnelles) et sur la responsabilité de la chaîne logistique chez les prestataires exploitant l'infrastructure gouvernementale partagée. Le dénouement inhabituel — déchiffreur accompagné d'excuses — a aussi annoncé une tension au sein des affiliés issus de LockBit entre motivations lucratives et coût diplomatique d'une attaque contre un gouvernement national.

Impact financier

Coûts déclarés en USD

Rançon demandée
$8.0M
Rançon payée
Refusée

    Chronologie

    1. Le rançongiciel Brain Cipher s'active à l'intérieur du Centre national de données temporaire (PDNS) indonésien à Surabaya. 282 services publics numériques — dont l'immigration et la délivrance des passeports — passent hors ligne.

    2. Le BSSN (Agence nationale indonésienne de cybersécurité et de cryptographie) identifie publiquement le rançongiciel comme une variante de LockBit 3.0 baptisée « Brain Cipher ». Demande de rançon : 8 M$ (~131 milliards Rp).

    3. Le gouvernement indonésien refuse publiquement de payer la rançon ; le président ordonne un audit de l'architecture nationale des données.

    4. Brain Cipher publie sur son site de fuite une déclaration fournissant une clé de déchiffrement « gratuitement », accompagnée d'excuses invoquant des considérations d'intérêt public.

    5. Les services du PDNS amorcent une restauration progressive. Les responsables reconnaissent que des données stratégiques des services de renseignement et militaires ont été affectées ; le rétablissement complet s'étale sur les semaines suivantes.

    Sources

    1. kompas.idhttps://www.kompas.id/artikel/en-siapa-itu-brain-cipher-operator-serangan-ransomware-pdn
    2. kominfo.lhokseumawekota.go.idhttps://kominfo.lhokseumawekota.go.id/berita/read/bssn-identifikasi-pusat-data-nasional-sementara-diserang-ransomware-202407051720150165
    3. csirt.bpip.go.idhttps://csirt.bpip.go.id/posts/mengenal-ransomware-lockbit-3-0-yang-menyerang-pusat-data-nasional-sementara-pdns
    4. uici.ac.idhttps://uici.ac.id/mengenal-ransomware-lockbit-3-0-brain-chiper-yang-serang-pusat-data-nasional/

    Incidents liés

    RançongicielContenu

    Rançongiciel LockBit chez Westpole — panne de l'administration publique italienne (2023)

    LockBit 3.0 a chiffré les centres de données du fournisseur cloud italien Westpole, mettant hors service la plateforme Urbi de PA Digitale — qui dessert 1 300 administrations publiques italiennes, dont 540 communes, la présidence du Quirinale, l'ISTAT, la Banque d'Italie et le ministère de l'Environnement. Paie, services aux citoyens et flux de travail des collectivités ont été dégradés pendant des semaines.

    Victim
    Westpole / PA Digitale (plateforme Urbi)
    RançongicielContenu

    Rançongiciel LockBit contre ICBC Financial Services (2023)

    Le rançongiciel LockBit a perturbé la filiale américaine de courtage-négociation d'ICBC, la plus grande banque mondiale, bloquant le règlement de plus de 9 milliards de dollars de transactions sur les bons du Trésor américain. Le personnel de la banque a envoyé les détails de règlement critiques sur clé USB, par messager, à travers Manhattan. 62 milliards de dollars de bons du Trésor n'ont pas pu être livrés en une seule journée.

    Victim
    ICBC Financial Services (courtier-négociant américain d'Industrial and Commercial Bank of China)
    Loss
    $9.00B
    RançongicielContenu

    Rançongiciel LockBit contre Boeing via Citrix Bleed (2023)

    Les opérateurs de LockBit ont exploité la vulnérabilité Citrix Bleed (CVE-2023-4966) pour pénétrer dans l'activité de pièces détachées et de distribution de Boeing. Boeing n'a pas payé ; LockBit a divulgué environ 45 Go de données, dont des journaux Citrix, des sauvegardes de courriels, des listes de fournisseurs et des données tarifaires de 2020.

    Victim
    Boeing — Activité Pièces détachées et Distribution
    RançongicielContenu

    Rançongiciel LockBit contre Continental AG (Allemagne, 2022)

    Les opérateurs de LockBit ont infiltré certaines parties des systèmes informatiques du géant allemand des équipements automobiles Continental AG en août 2022. Une mise sous contrôle a d'abord été annoncée, mais en novembre, le groupe a mis 40 téraoctets de données volées de Continental sur son site de fuite du dark web, proposés à la vente ou à la destruction pour 50 millions de dollars.

    Victim
    Continental AG