Selon le gouvernement municipal de Sanxenxo (Pontevedra), un malware a infiltré le réseau municipal lundi matin, provoquant une paralysie quasi totale du fonctionnement de la mairie. 🚨

La mairie de Sanxenxo (Pontevedra, Galice) a été victime d’une cyberattaque de type ransomware ayant fortement perturbé ses opérations administratives. L’incident, détecté lundi matin, a entraîné une chiffrement massif des fichiers stockés sur les serveurs municipaux, rendant l’accès à des milliers de documents impossible pour les agents communaux.

Les attaquants ont exigé une rançon de 5 000 euros en bitcoins afin de rétablir le fonctionnement normal des systèmes. Le conseil municipal a refusé de payer et a déposé plainte auprès de la Guardia Civil, privilégiant une réponse technique et judiciaire.

Les équipes techniques travaillent actuellement à la restauration des données à partir des sauvegardes quotidiennes, un processus décrit comme lent en raison de l’absence, à ce stade, d’identification claire du vecteur d’infection initial. Les opérations de récupération mobilisent plusieurs entités, dont Amtega, le COCS et le prestataire de cybersécurité de la municipalité.

Certaines entités municipales (Nauta et Turismo de Sanxenxo) ainsi que la sede électronique n’ont pas été affectées, car elles reposent sur des réseaux distincts. Pour assurer la continuité des services, les agents municipaux travaillent temporairement depuis des postes isolés, non connectés au réseau interne.

Cet incident s’inscrit dans un contexte régional de hausse marquée des cyberattaques contre les administrations locales galiciennes. En 2025, la Xunta de Galicia indique avoir bloqué 264 millions de tentatives d’intrusion, illustrant une pression cyber croissante et persistante sur les infrastructures publiques.

🧠 TTPs et IOCs détectés

🔍 IOC observables

(Aucun indicateur technique précis — IP, domaines, hash — n’a été communiqué publiquement à ce stade)

  • Demande de rançon en cryptomonnaie (Bitcoin)
  • Chiffrement massif des fichiers administratifs
  • Paralysie partielle des systèmes internes
  • Absence initiale d’identification du vecteur d’infection
  • Dépôt de plainte officiel auprès des forces de l’ordre

🧩 TTPs (extraits – alignement MITRE ATT&CK)

Accès initial

  • Vecteur d’infection non encore identifié
  • Hypothèses plausibles :
    • Compromission via service exposé
    • Phishing ciblant des agents municipaux
    • Exploitation de vulnérabilités non corrigées

Exécution & Impact

  • Déploiement de malware de chiffrement (ransomware)
  • Chiffrement des documents et indisponibilité des données

Command & Control / Extorsion

  • Demande de rançon en Bitcoin
  • Tentative d’extorsion financière directe

Réponse & Résilience

  • Refus de paiement de la rançon
  • Restauration via sauvegardes
  • Segmentation réseau limitant l’impact (réseaux non affectés)
  • Utilisation de postes isolés pour maintenir l’activité

📌 À retenir

  • Les collectivités locales restent des cibles privilégiées du ransomware.
  • La segmentation réseau et les sauvegardes régulières ont permis de limiter l’impact.
  • L’identification rapide du vecteur initial demeure un enjeu clé pour la remédiation complète.
  • Le refus de paiement s’aligne avec les bonnes pratiques recommandées par les autorités.

Type d’article : annonce d’incident. But principal : informer de l’infection par malware et de la paralysie des services municipaux.

🔗 Source originale : https://www.telecinco.es/noticias/galicia/20260127/ciberataque-paraliza-funcionamiento-ayuntamiento-sanxenxo-pontevedra_18_018170457.html