Skip to content
Cyber Breaches
Recherche
RançongicielRésolu

Attaque par rançongiciel contre l'administration SERNAC

Un rançongiciel a chiffré les serveurs Microsoft et VMware ESXi du Service national du consommateur (SERNAC) du Chili, perturbant ses systèmes et services en ligne et conduisant le CSIRT gouvernemental à émettre une alerte de cybersécurité à l'échelle de l'État.

Victime
Servicio Nacional del Consumidor (SERNAC)
SecteurGouvernement
PaysChili

Le 25 août 2022, le Servicio Nacional del Consumidor (SERNAC) du Chili — l'agence nationale de protection des consommateurs — a été frappé par une attaque par rançongiciel qui a chiffré ses serveurs et perturbé ses systèmes et services en ligne, devenant l'une des attaques les plus marquantes contre une institution publique chilienne cette année-là.

Ce qui s'est passé

L'incident visait les serveurs Microsoft et VMware ESXi des réseaux d'entreprise du SERNAC. Le rançongiciel avait la capacité d'arrêter toutes les machines virtuelles en cours d'exécution, puis de chiffrer les fichiers, qui prenaient l'extension « .crypt ». L'attaquant a pris le contrôle total des systèmes touchés et a laissé une note de rançon précisant le volume de données qu'il prétendait avoir saisi.

Parce que le logiciel malveillant ciblait spécifiquement les hyperviseurs VMware ESXi, il pouvait désactiver d'un seul coup un grand nombre de charges de travail virtualisées — une technique devenue de plus en plus courante en 2022. Les chercheurs en sécurité ayant analysé l'échantillon ont relevé un comportement cohérent avec la famille de rançongiciels RedAlert (également suivie sous le nom de N13V), conçue spécialement pour chiffrer les environnements ESXi sous Windows comme sous Linux.

Réponse du gouvernement

L'équipe gouvernementale chilienne de réponse aux incidents de sécurité informatique (CSIRT), l'autorité de cybersécurité rattachée au ministère de l'Intérieur, a transformé l'incident SERNAC en une alerte de cybersécurité à l'échelle de l'État le 29 août, enjoignant à tous les organismes publics et entités partenaires de revoir leurs défenses, d'appliquer des mesures d'atténuation et de surveiller les indicateurs de compromission associés à l'attaque. L'alerte traduisait la crainte que le même acteur ou la même technique se propage à d'autres organismes publics.

Conséquences

  • Les systèmes et services en ligne du SERNAC ont été interrompus, affectant les activités de protection des consommateurs de l'agence.
  • Les fichiers des serveurs Microsoft et VMware ESXi compromis ont été chiffrés avec une extension « .crypt ».
  • Le gouvernement chilien a émis une alerte de niveau national à l'ensemble de l'appareil d'État à titre de précaution.
  • Aucune confirmation publique du paiement d'une rançon n'existe.

Pourquoi c'est important

L'attaque contre le SERNAC est survenue durant une année où les rançongiciels ciblant ESXi ont connu une forte progression mondiale, exploitant le fait qu'une seule compromission d'hyperviseur peut chiffrer simultanément des dizaines de serveurs virtuels. Pour le Chili, frapper un régulateur de la protection des consommateurs quelques mois seulement après la fuite militaire Guacamaya a renforcé la perception d'une faiblesse systémique des défenses cyber du secteur public et donné de l'urgence à la démarche législative du pays vers un cadre national de cybersécurité et une Agence nationale de cybersécurité (ANCI) dédiée. L'escalade rapide du CSIRT vers une alerte pangouvernementale a également illustré une posture nationale de réponse aux incidents en voie de maturation, quoique encore réactive, dans laquelle la compromission d'une agence est traitée comme un avertissement pour toutes.

Chronologie

  1. Un rançongiciel compromet les serveurs Microsoft et VMware ESXi du SERNAC, arrêtant les machines virtuelles et chiffrant les fichiers avec une extension « .crypt ».

  2. Le CSIRT gouvernemental chilien émet une alerte de cybersécurité à l'échelle de l'État après plusieurs jours d'incident.

  3. Les autorités confirment qu'il s'agit d'un rançongiciel et diffusent des indicateurs de compromission aux autres organismes publics.

  4. Des chercheurs en sécurité analysent le logiciel malveillant, relevant des capacités cohérentes avec la famille de rançongiciels RedAlert/N13V ciblant ESXi.

  5. Le SERNAC s'emploie à restaurer ses services et à reconstruire l'infrastructure touchée tout en maintenant ses activités de protection des consommateurs.

Sources

  1. incibe.eshttps://www.incibe.es/en/incibe-cert/publications/cybersecurity-highlights/chilean-governments-csirt-reports-ransomware-attack-sernac
  2. welivesecurity.comhttps://www.welivesecurity.com/la-es/2022/09/02/ataque-ransomware-compromete-sistemas-sernac-chile/
  3. biobiochile.clhttps://www.biobiochile.cl/noticias/nacional/chile/2022/08/30/csirt-emite-alerta-de-seguridad-cibernetica-para-todo-el-estado-tras-hackeo-al-sernac.shtml
  4. elmostrador.clhttps://www.elmostrador.cl/noticias/pais/2022/08/29/ente-tecnico-del-gobierno-emite-alerta-al-estado-por-ataque-informatico-al-sernac/

Incidents liés

RançongicielContenu

Attaque par rançongiciel Conti contre le gouvernement du Costa Rica

Conti a chiffré 27 institutions gouvernementales costaricaines, dont le ministère des Finances, paralysant la collecte des impôts et les douanes pendant des mois. Le président Chaves a déclaré l'état d'urgence national — le premier état d'urgence de l'histoire dû à un cyberincident.

Victim
Gouvernement du Costa Rica (27 institutions dont le ministère des Finances, les Douanes, la Sécurité sociale)
Loss
$130.0M
RançongicielEn cours

Fuite chez Organisme pour la Sécurité de l’Aviation Civile

En février 2026, le groupe d'extorsion LAPSUS$ a revendiqué le vol d'environ 420 Go de données de l'OSAC (Organisme pour la Sécurité de l'Aviation Civile), dont cartes d'identité, passeports, diplômes, justificatifs de domicile et documents internes ; les données ont ensuite été intégralement diffusées.

Victim
Organisme pour la Sécurité de l’Aviation Civile