Le groupe ransomware 'The Gentlemen' victime d'une fuite de données internes

đŸ—“ïž Contexte Source : DataBreachToday (euroinfosec), publiĂ© le 11 mai 2026. L’article rapporte une fuite de donnĂ©es affectant le groupe ransomware-as-a-service ‘The Gentlemen’, apparu mi-2025, dont les communications internes ont Ă©tĂ© exfiltrĂ©es et publiĂ©es sur le forum cybercriminel Breached. 🔓 Incident de fuite Le 4 mai 2026, un utilisateur du forum Breached a mis en vente les donnĂ©es volĂ©es pour 10 000 dollars en bitcoin. Le vendredi suivant, les donnĂ©es ont Ă©tĂ© publiĂ©es gratuitement via un lien MediaFire. Le contenu comprend : ...

19 mai 2026 Â· 3 min

Pwn2Own Berlin 2026 : 47 zero-days exploités, 1,298,250 $ de récompenses

🏆 Contexte Source : BleepingComputer, publiĂ© le 18 mai 2026. La compĂ©tition Pwn2Own Berlin 2026 s’est tenue du 14 au 16 mai 2026 dans le cadre de la confĂ©rence OffensiveCon, organisĂ©e par la Zero Day Initiative (ZDI) de TrendMicro. Elle ciblait les technologies d’entreprise et l’intelligence artificielle. 💰 RĂ©sultats globaux 47 zero-days exploitĂ©s au total 1,298,250 $ de rĂ©compenses distribuĂ©es Jour 1 : 523,000 $ pour 24 zero-days Jour 2 : 385,750 $ pour 15 zero-days Jour 3 : 389,500 $ pour 8 zero-days đŸ„‡ Classement DEVCORE — 50,5 points, 505,000 $ (1er) STARLabs SG — 25 points, 242,500 $ Out Of Bounds — 12,75 points, 95,750 $ 🔓 Exploits notables Orange Tsai (DEVCORE) : 200,000 $ pour une chaĂźne de 3 bugs permettant une RCE avec privilĂšges SYSTEM sur Microsoft Exchange ; 175,000 $ supplĂ©mentaires pour un sandbox escape sur Microsoft Edge via 4 bugs logiques Valentina Palmiotti (IBM X-Force) : 70,000 $ pour un root sur Red Hat Linux for Workstations et un zero-day NVIDIA Container Toolkit Windows 11 : hackĂ© Ă  plusieurs reprises (LPE) Red Hat Enterprise Linux for Workstations : compromis plusieurs fois VMware ESXi : exploitĂ© via un bug de corruption mĂ©moire Agents de codage IA : zero-days dĂ©montrĂ©s le jour 2 Microsoft SharePoint et Microsoft Exchange : ciblĂ©s par DEVCORE 📋 CatĂ©gories ciblĂ©es Navigateurs web, applications d’entreprise, Ă©lĂ©vation de privilĂšges locale, serveurs, infĂ©rence locale, environnements cloud-native/conteneurs, virtualisation, LLM ⏳ Divulgation responsable ConformĂ©ment aux rĂšgles ZDI, les vendeurs disposent de 90 jours pour publier des correctifs avant la divulgation publique des vulnĂ©rabilitĂ©s. ...

19 mai 2026 Â· 2 min

Qilin (ex-Agenda) : analyse complĂšte d'un groupe RaaS en pleine expansion mondiale

🎯 Contexte PubliĂ© le 15 mai 2026 par Guardsix (anciennement Logpoint), cet article constitue une analyse de menace approfondie sur le groupe ransomware Qilin, initialement connu sous le nom Agenda lors de son Ă©mergence en mi-2022. đŸ•”ïž Profil du groupe Qilin est un groupe cybercriminel basĂ© en Russie opĂ©rant sous un modĂšle Ransomware-as-a-Service (RaaS). Les opĂ©rateurs dĂ©veloppent et maintiennent la plateforme tandis que des affiliĂ©s conduisent les intrusions en Ă©change d’un pourcentage des rançons. Le groupe a connu une montĂ©e en puissance significative en 2023, s’accĂ©lĂ©rant en 2024 et 2025. ...

19 mai 2026 Â· 4 min

Storm-2949 : compromission d'identité cloud transformée en exfiltration massive Azure

🔍 Contexte PubliĂ© le 18 mai 2026 par la Microsoft Defender Security Research Team, cet article constitue un rapport d’incident dĂ©taillĂ© analysant une campagne sophistiquĂ©e menĂ©e par le groupe Storm-2949. L’attaque a ciblĂ© une organisation non nommĂ©e dont l’infrastructure repose massivement sur les services cloud Microsoft (Microsoft 365, Azure). 🎯 Vecteur d’accĂšs initial L’accĂšs initial a Ă©tĂ© obtenu via ingĂ©nierie sociale ciblĂ©e combinĂ©e Ă  un abus du processus SSPR (Self-Service Password Reset) de Microsoft Entra ID. Le groupe a : ...

19 mai 2026 Â· 4 min

TeamPCP vend le code source volé de Mistral AI aprÚs l'attaque supply-chain Mini Shai-Hulud

đŸ—“ïž Contexte Source : BleepingComputer, publiĂ© le 14 mai 2026. L’article rapporte une tentative d’extorsion par le groupe cybercriminel TeamPCP Ă  l’encontre de Mistral AI, sociĂ©tĂ© française spĂ©cialisĂ©e dans les grands modĂšles de langage (LLM). 🎯 Incident L’attaque s’inscrit dans le cadre de l’opĂ©ration Mini Shai-Hulud, une attaque de la chaĂźne d’approvisionnement logicielle qui a dĂ©butĂ© par la compromission de packages officiels de TanStack et Mistral AI via des identifiants CI/CD volĂ©s et des workflows lĂ©gitimes dĂ©tournĂ©s. ...

19 mai 2026 Â· 3 min

The Gentlemen RaaS : analyse de la fuite interne révélant 10% des victimes mondiales en 2026

🔍 Contexte Le 14 mai 2026, KELA Cyber Intelligence Center publie une analyse approfondie d’une fuite de donnĂ©es internes concernant The Gentlemen, une opĂ©ration RaaS (Ransomware-as-a-Service) active depuis septembre 2025. La fuite, initialement postĂ©e le 4 mai 2026 sur Exploit.in par l’utilisateur XxHDSandwichxX, couvre des communications internes du 7 novembre 2025 au 30 avril 2026. 📊 Ampleur et positionnement Entre janvier et mai 2026, KELA a recensĂ© 3 349 victimes de ransomware revendiquĂ©es publiquement (+14,5% vs 2025). The Gentlemen revendique 328 victimes sur cette pĂ©riode, soit 10% des attaques mondiales, se positionnant en 2e place mondiale derriĂšre Qilin (17%). ...

19 mai 2026 Â· 4 min

Typosquat du module Go shopspring/decimal avec backdoor DNS TXT actif depuis 2023

🔍 Contexte L’équipe de recherche de Socket a publiĂ© le 19 mai 2026 une analyse technique dĂ©taillĂ©e d’une attaque de chaĂźne d’approvisionnement ciblant l’écosystĂšme Go. Le module malveillant github.com/shopsprint/decimal imite la bibliothĂšque lĂ©gitime github.com/shopspring/decimal (38 634 importateurs connus), en ne diffĂ©rant que d’un seul caractĂšre dans le nom du vendeur (shopsprint vs shopspring). đŸ—“ïž Chronologie de l’attaque Le module typosquat a Ă©tĂ© publiĂ© pour la premiĂšre fois le 2017-11-08, avec sept versions non malveillantes servant de miroir fidĂšle de la bibliothĂšque lĂ©gitime. Le 2023-08-19, deux versions ont Ă©tĂ© publiĂ©es Ă  sept minutes d’intervalle : ...

19 mai 2026 Â· 3 min

UNC6671 / BlackFile : campagne d'extorsion par vishing et compromission SSO

🔍 Contexte Source : Google Threat Intelligence Group (GTIG), publiĂ© le 15 mai 2026 sur le blog officiel Google Cloud. L’article prĂ©sente une analyse dĂ©taillĂ©e d’une campagne d’extorsion active attribuĂ©e Ă  UNC6671, un acteur opĂ©rant sous la marque BlackFile. 🎯 Acteur et ciblage UNC6671 est actif depuis dĂ©but 2026 et a ciblĂ© des dizaines d’organisations en AmĂ©rique du Nord, Australie et Royaume-Uni. Le GTIG le distingue formellement de ShinyHunters (UNC6240), bien qu’UNC6671 ait usurpĂ© la marque ShinyHunters dans au moins un cas pour renforcer la crĂ©dibilitĂ© de ses menaces. ...

19 mai 2026 Â· 2 min

Violation de données chez American Lending Center : 123 000 personnes touchées par un ransomware

🏩 Contexte Source : SecurityWeek, publiĂ© le 15 mai 2026. American Lending Center (ALC) est un prĂȘteur non bancaire basĂ© en Californie, gĂ©rant un portefeuille de 3 milliards de dollars spĂ©cialisĂ© dans les prĂȘts aux petites entreprises garantis par le gouvernement amĂ©ricain. 🔓 Incident ALC a dĂ©tectĂ© une attaque par ransomware en juillet 2025. Une investigation forensique a Ă©tabli que le threat actor a : Compromis le rĂ©seau interne de l’organisation ExĂ©cutĂ© une attaque ransomware AccĂ©dĂ© Ă  des fichiers contenant des informations personnelles sensibles 📋 DonnĂ©es exposĂ©es Les informations potentiellement volĂ©es incluent : ...

19 mai 2026 Â· 2 min

Zero-day Windows MiniPlasma : escalade de privilÚges SYSTEM via cldflt.sys, PoC publié

📰 Source : BleepingComputer — Date de publication : 17 mai 2026 Un chercheur en sĂ©curitĂ© connu sous les pseudonymes Chaotic Eclipse ou Nightmare Eclipse a publiĂ© un exploit proof-of-concept (PoC) pour une vulnĂ©rabilitĂ© zero-day Windows baptisĂ©e MiniPlasma, permettant une escalade de privilĂšges jusqu’au niveau SYSTEM sur des systĂšmes Windows 11 entiĂšrement Ă  jour (incluant les mises Ă  jour Patch Tuesday de mai 2026). 🔍 DĂ©tails techniques La faille affecte le driver cldflt.sys (Cloud Filter driver) et plus prĂ©cisĂ©ment la routine HsmOsBlockPlaceholderAccess. Elle permet la crĂ©ation de clĂ©s de registre arbitraires dans la ruche .DEFAULT sans vĂ©rification d’accĂšs appropriĂ©e, via une API non documentĂ©e CfAbortHydration. Cette vulnĂ©rabilitĂ© avait Ă©tĂ© initialement dĂ©couverte et signalĂ©e Ă  Microsoft en septembre 2020 par James Forshaw (Google Project Zero), assignĂ©e sous l’identifiant CVE-2020-17103 et supposĂ©ment corrigĂ©e en dĂ©cembre 2020. Le chercheur affirme que le correctif n’a jamais Ă©tĂ© rĂ©ellement appliquĂ© ou a Ă©tĂ© silencieusement rĂ©voquĂ©. ...

19 mai 2026 Â· 3 min
Derniùre mise à jour le: 11 juillet 2026 📝