📰 Source : MyBroadband, article de Jan Vermeulen publié le 29 mars 2026. L’article rapporte une attaque par ransomware et extorsion de données ciblant Statistics South Africa (Stats SA), l’agence gouvernementale sud-africaine chargée du recensement national et de la production de statistiques officielles.

🎯 Victime et impact : Stats SA confirme une violation de cybersécurité affectant une base de données RH utilisée par les candidats à l’emploi en ligne. Le groupe XP95 revendique le vol de 453 362 fichiers représentant 154 Go de données depuis un serveur non spécifié. La demande de rançon s’élève à 100 000 dollars (environ 1,7 million de rands), avec une deadline fixée au 20 avril 2026, après laquelle les données seraient publiées en ligne.

🕵️ Acteur de la menace : XP95 est un groupe émergent apparu pour la première fois en mars 2026. Il se distingue par un site de fuite sur le dark web imitant l’interface graphique des anciens systèmes d’exploitation Microsoft Windows (Windows 95 et Windows XP). Selon DarkFeed, le site présente un design rétro avec fonds sarcelle, dossiers vintage et barre des tâches classique. Le groupe avait précédemment ciblé le gouvernement provincial du Gauteng, revendiquant le vol de 3,8 To de données contre une rançon de 25 000 dollars, avec une approche de vente des données à des tiers.

📋 Réponse de Stats SA :

  • Confirmation officielle de la brèche sur le système RH des candidatures en ligne
  • Refus catégorique de payer la rançon, en conformité avec la PFMA (Public Finance Management Act)
  • Notification prévue auprès du régulateur de l’information
  • Participation à la réponse gouvernementale coordonnée en matière de cybersécurité

📊 Contexte sectoriel : Orange Cyberdefense (Security Navigator Report 2025) signale une hausse de 53 % des incidents ransomware pour les PME en 2024, et note le paiement record de 75 millions de dollars au groupe Dark Angels en 2025. L’usage d’outils d’IA pour la fraude et l’extorsion est également mentionné comme facteur aggravant.

🗂️ Type d’article : Annonce d’incident à destination du grand public et des professionnels de la sécurité, visant à informer sur une compromission active en cours avec deadline de divulgation imminente.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • XP95 (cybercriminal)

TTP

  • T1486 — Data Encrypted for Impact (Impact)
  • T1567 — Exfiltration Over Web Service (Exfiltration)
  • T1657 — Financial Theft (Impact)
  • T1530 — Data from Cloud Storage (Collection)

🔗 Source originale : https://mybroadband.co.za/news/security/636993-south-african-government-agency-with-sensitive-data-breached-in-r1-7-million-ransomware-attack.html