Attaque RansomExx contre la Cour supérieure du Brésil (STJ)

Le 3 novembre 2020, en pleine séance de jugement, le Superior Tribunal de Justiça (STJ) — la plus haute juridiction brésilienne pour les matières fédérales non constitutionnelles — a été frappé par le rançongiciel RansomExx, dans ce que les autorités ont qualifié de cyberattaque la plus grave jamais menée contre une institution publique brésilienne.

Ce qui s'est passé

Le rançongiciel s'est déclenché en milieu d'après-midi. Pour empêcher le chiffrement de se propager sur le réseau, l'équipe informatique de la cour a éteint tous les systèmes, y compris la messagerie et la téléphonie. Selon un technicien du STJ, les attaquants avaient compromis un compte Domain Admin, ce qui leur a permis d'atteindre les groupes d'administration de l'environnement virtualisé de la cour et de chiffrer plus de 1 000 machines virtuelles — l'essentiel de l'infrastructure — ainsi que les sauvegardes accessibles.

RansomExx (également suivi sous le nom de Defray777) a laissé une note de rançon invitant la victime à envoyer un fichier chiffré pour un « déchiffrement test » avant de recevoir des instructions. La cour n'a divulgué aucun montant de rançon et il n'existe aucune preuve publique qu'une rançon ait été versée.

Impact

Le STJ a été de fait paralysé pendant plus d'une semaine. Les délais et les séances judiciaires ont été suspendus, et le portail électronique de gestion des dossiers — par lequel transite le contentieux brésilien — était indisponible.
Plus de 1 200 serveurs, en majorité des machines virtuelles, ont été touchés.
L'incident a perturbé le travail de milliers de juges, greffiers et avocats à l'échelle nationale et a gelé un grand volume d'affaires en cours.

Réponse

La restauration a été menée par le service informatique du STJ avec l'aide de la Police fédérale, de l'unité de cyber-renseignement de l'Armée brésilienne et de Microsoft. Élément essentiel, la cour a pu restaurer les dossiers et les systèmes à partir des sauvegardes, et le 19 novembre, le président du STJ a confirmé qu'aucune donnée de dossier n'avait été définitivement perdue. Le Tribunal fédéral suprême (STF) a ordonné la création d'un comité chargé de renforcer l'ensemble de la justice contre de futures attaques.

Pourquoi c'est important

L'attaque du STJ a constitué un tournant pour le secteur public brésilien. Elle a montré comment un unique compte d'administrateur surprivilégié peut livrer tout un centre de données virtualisé à un groupe de rançongiciel, et à quel point une justice moderne dépend d'une informatique ininterrompue. Elle a accéléré les investissements dans l'administration segmentée, la gestion des accès privilégiés et des sauvegardes hors ligne résilientes au sein des institutions fédérales brésiliennes, et demeure le cas de référence des discussions nationales sur la cyber-résilience des infrastructures critiques.

Chronologie

3 novembre 2020

Le rançongiciel RansomExx se déclenche en milieu d'après-midi pendant les séances de jugement ; le STJ éteint ses systèmes pour contenir la propagation.

3 novembre 2020

Les attaquants exploitent un compte Domain Admin compromis pour atteindre l'infrastructure virtuelle et chiffrer la majeure partie des machines virtuelles de la cour.

5 novembre 2020

Le STJ suspend les délais judiciaires et les séances ; messagerie, téléphonie et systèmes de gestion des dossiers restent hors ligne.

9 novembre 2020

Les travaux de restauration se poursuivent avec l'aide de la Police fédérale, du renseignement de l'Armée et de Microsoft ; les sauvegardes sont restaurées.

11 novembre 2020

Le STJ commence à remettre en ligne les systèmes essentiels et le portail électronique des dossiers.

19 novembre 2020

Le président du STJ confirme que les données ont été récupérées à partir des sauvegardes et qu'aucun dossier n'a été définitivement perdu.

Sources

bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/brazils-court-system-under-massive-ransomexx-ransomware-attack/

theregister.comhttps://www.theregister.com/2020/11/06/brazil_court_ransomware/

stj.jus.brhttps://www.stj.jus.br/sites/portalp/Paginas/Comunicacao/Noticias/19112020-Comunicado-da-Presidencia-do-STJ.aspx

pt.wikipedia.orghttps://pt.wikipedia.org/wiki/Ataque_cibern%C3%A9tico_ao_Superior_Tribunal_de_Justi%C3%A7a

Incidents liés

RançongicielEn cours24 mai 2026

La mairie d’Eyguières paralysée par un ransomware

Le 22 mai 2026, la mairie d’Eyguières (Bouches-du-Rhône, environ 7 000 habitants) a été frappée par une attaque au rançongiciel Qilin qui a mis hors service ses systèmes informatiques et menacé de compromettre les données administratives et personnelles des habitants.

Victim: La mairie d’Eyguières

RançongicielContenu5 mai 2026

Quiberon : les services municipaux perturbés après une cyberattaque

Le 3 mai 2026, la ville de Quiberon (Morbihan, France) a été frappée par un rançongiciel Qilin qui a chiffré une partie de ses systèmes informatiques et exfiltré des données personnelles ; la Ville a refusé la rançon et engagé une reconstruction progressive et sécurisée de son infrastructure.

Victim: Quiberon

RançongicielEn cours24 février 2026

Fuite chez Organisme pour la Sécurité de l’Aviation Civile

En février 2026, le groupe d'extorsion LAPSUS$ a revendiqué le vol d'environ 420 Go de données de l'OSAC (Organisme pour la Sécurité de l'Aviation Civile), dont cartes d'identité, passeports, diplômes, justificatifs de domicile et documents internes ; les données ont ensuite été intégralement diffusées.

Victim: Organisme pour la Sécurité de l’Aviation Civile

RançongicielContenu26 décembre 2025

Fuite chez Commune de Lens

Fin décembre 2025, la mairie de Lens (Pas-de-Calais, France) a révélé une intrusion dans son système d'information qui a paralysé les services municipaux pendant environ une semaine, bloquant les logiciels des agents et les lignes téléphoniques ; le vecteur d'attaque n'a pas été divulgué et aucun vol de données n'a été confirmé.

Victim: Commune de Lens