Ransomware 2025 : fragmentation des groupes et forte hausse des victimes selon Emsisoft

Selon Emsisoft News (Luke Connolly, 7 janvier 2026), l’analyse des donnĂ©es 2025 issues de RansomLook.io et Ransomware.live met en lumiĂšre une hausse marquĂ©e des victimes de ransomware, la fragmentation de l’écosystĂšme criminel et l’efficacitĂ© accrue de l’ingĂ©nierie sociale. 📈 Tendances chiffrĂ©es. Les victimes « revendiquĂ©es » par les groupes passent d’environ 5 400 en 2023 Ă  8 000+ en 2025 (selon les deux sources). La croissance 2025 sur 2024 atteint +46% (RansomLook) et +33% (Ransomware.live). Le nombre de groupes actifs progresse en parallĂšle (jusqu’à 126–141 en 2025), avec une moyenne de victimes par groupe restant globalement stable (~60–65 depuis 2023/2024), suggĂ©rant que la fragmentation maintient la cadence d’attaques. ...

10 janvier 2026 Â· 2 min

SafePay : un gang de ransomware centralisé impose la double extorsion et chiffre en 24 h

Selon l’article, dans le contexte d’une intensification des opĂ©rations en 2024-2025, un nouveau groupe de ransomware nommĂ© SafePay s’impose comme une menace mondiale majeure. 🔒 SafePay fonctionne Ă  l’opposĂ© des modĂšles RaaS dominants : le groupe est centralisĂ© et fermĂ©, gardant un contrĂŽle strict sur l’infrastructure, les nĂ©gociations et les profits. Cette approche OPSEC vise Ă  rĂ©duire les risques de fuites de code et d’infiltration par les forces de l’ordre qui ont affectĂ© des groupes comme LockBit et ALPHV. ...

10 janvier 2026 Â· 2 min

Secrets en ligne de commande : Ă©viter les fuites via /proc, l’historique et l’environnement

Source : billet de blog de Linus Heckemann (9 janvier 2026). L’auteur illustre d’abord le risque de « Process information leakage » lorsqu’un secret (ex. un token Bearer pour l’API GitLab) est passĂ© en argument de commande, car les lignes de commande sont lisibles via /proc sur la plupart des distributions Linux (outils comme ps/pgrep). Des options comme hidepid pour /proc ou l’isolation par dĂ©faut de macOS limitent la visibilitĂ© inter-utilisateurs, mais la meilleure approche reste d’éviter de placer des secrets sur la ligne de commande. ...

10 janvier 2026 Â· 2 min

Série de coupures de cùbles sous-marins en mer Baltique, un lien Arelion sectionné

Selon Le Marin et France Info, une nouvelle coupure de cĂąble optique sous-marin a Ă©tĂ© constatĂ©e en mer Baltique, prolongeant une sĂ©rie d’incidents survenus depuis la guerre russo‑ukrainienne. Le dernier incident concerne le cĂąble Arelion reliant la Lituanie Ă  la Lettonie (long de 97 km), sectionnĂ© le 2 janvier. Il fait suite Ă  des coupures entre la SuĂšde et l’Estonie le 30 dĂ©cembre, puis entre l’Estonie et la Finlande le 31 dĂ©cembre. Ces Ă©vĂ©nements successifs laissent envisager des actions coordonnĂ©es et volontaires visant des infrastructures critiques 🌐. ...

10 janvier 2026 Â· 1 min

Veeam corrige 4 vulnérabilités dans Backup & Replication 13 : mettez à jour en 13.0.1.1071

Selon IT-Connect, Veeam a publiĂ© des correctifs en ce dĂ©but janvier 2026 pour quatre vulnĂ©rabilitĂ©s affectant Veeam Backup & Replication 13, issues d’audits internes. Trois d’entre elles permettent une exĂ©cution de code Ă  distance (RCE). ⚠ DĂ©tail des failles (CVE, impact, privilĂšges requis, sĂ©vĂ©ritĂ©, CVSS): CVE-2025-55125: RCE en tant que root via crĂ©ation d’un fichier de configuration de sauvegarde malveillant — PrĂ©requis: Backup/Tape Operator — ÉlevĂ©e, 7.2 CVE-2025-59468: RCE en tant qu’utilisateur postgres via envoi d’un paramĂštre de mot de passe malveillant — PrĂ©requis: Backup Administrator — Moyenne, 6.7 CVE-2025-59469: Écriture de fichiers arbitraires en tant que root — PrĂ©requis: Backup/Tape Operator — ÉlevĂ©e, 7.2 CVE-2025-59470: RCE en tant qu’utilisateur postgres via des paramĂštres d’ordre ou d’intervalle malveillants — PrĂ©requis: Backup/Tape Operator — ÉlevĂ©e, 9.0 (CVSS) Pour la CVE-2025-59470, malgrĂ© un score CVSS 9.0, Veeam abaisse la sĂ©vĂ©ritĂ© Ă  ÉlevĂ©e car: 1) l’exploitation exige dĂ©jĂ  le rĂŽle Operator, confĂ©rant de forts privilĂšges; 2) l’application des bonnes pratiques de sĂ©curitĂ© Veeam rĂ©duit la probabilitĂ© d’exploitation. ...

10 janvier 2026 Â· 2 min

900 000 utilisateurs compromis : des extensions Chrome malveillantes volent des conversations ChatGPT et DeepSeek

Selon OX Security (OX Research), une campagne malveillante exploite deux extensions Chrome usurpant l’extension lĂ©gitime AITOPIA pour exfiltrer des conversations ChatGPT et DeepSeek, ainsi que toutes les URLs des onglets Chrome, vers un serveur C2 toutes les 30 minutes. L’une des extensions malveillantes arborait mĂȘme le badge “Featured” de Google. ‱ Impact et pĂ©rimĂštre: plus de 900 000 tĂ©lĂ©chargements des extensions « Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI » et « AI Sidebar with Deepseek, ChatGPT, Claude and more ». Les extensions restent disponibles sur le Chrome Web Store, malgrĂ© un signalement Ă  Google le 29 dĂ©c. 2025 (statut « in review » au 30 dĂ©c. 2025). ...

9 janvier 2026 Â· 3 min

Le groupe RondoDox exploite la faille React2Shell de Next.js pour cibler plus de 90 000 appareils

Selon HackRead, le groupe de hackers RondoDox exploite la vulnĂ©rabilitĂ© React2Shell dans Next.js pour mener des attaques Ă  grande Ă©chelle. 🚹 Nature de l’attaque: Exploitation active d’une faille baptisĂ©e React2Shell au sein de Next.js par le groupe RondoDox. 📈 Impact: Plus de 90 000 appareils sont visĂ©s, incluant des routeurs, des camĂ©ras intelligentes et des sites web de petites entreprises. đŸ§© Vecteur: L’attaque repose sur l’exploitation de la faille React2Shell dans le framework Next.js. ...

6 janvier 2026 Â· 1 min

PHALT#BLYX : fausses BSOD et MSBuild dĂ©tournĂ© pour dĂ©ployer DCRat contre l’hĂŽtellerie europĂ©enne

Source : Securonix Threat Research — Analyse technique d’une campagne active baptisĂ©e PHALT#BLYX ciblant le secteur de l’hĂŽtellerie en Europe, utilisant des leurres Booking.com, la tactique « ClickFix » (faux CAPTCHA puis faux Ă©cran bleu), et l’abus de MSBuild.exe pour livrer un RAT de type DCRat/AsyncRAT. ‱ Le flux d’infection repose sur un email de phishing « annulation de rĂ©servation » avec montants en euros, redirigeant vers un faux site Booking.com. L’utilisateur est poussĂ© Ă  cliquer « Refresh », un faux BSOD s’affiche et l’invite Ă  coller une commande PowerShell (ClickFix) depuis le presse‑papiers. Le script tĂ©lĂ©charge un projet MSBuild (v.proj) depuis 2fa-bns[.]com, exĂ©cutĂ© par msbuild.exe pour dĂ©rouler la suite de l’infection. ...

6 janvier 2026 Â· 3 min

Plus de 10 000 pare-feu Fortinet encore vulnérables à un contournement MFA (CVE-2020-12812)

Cyber Security News rapporte dĂ©but janvier 2026 que The Shadowserver Foundation a ajoutĂ© la vulnĂ©rabilitĂ© Fortinet CVE-2020-12812 Ă  son rapport quotidien des services HTTP vulnĂ©rables, confirmant plus de 10 000 pare-feu FortiGate exposĂ©s dans le monde, alors que Fortinet a reconnu une exploitation active fin 2025. La faille CVE-2020-12812 (score CVSS 7.5 – High) affecte les portails FortiOS SSL VPN (versions 6.4.0, 6.2.0 Ă  6.2.3, et 6.0.9 et antĂ©rieures) et permet un contournement du MFA. Un attaquant peut se connecter en modifiant simplement la casse du nom d’utilisateur (ex. “user” → “User”) en raison d’un dĂ©calage de sensibilitĂ© Ă  la casse entre FortiGate (utilisateurs locaux sensibles Ă  la casse) et des serveurs LDAP tels qu’Active Directory (souvent insensibles Ă  la casse), ce qui autorise l’authentification par appartenance Ă  un groupe sans demander le deuxiĂšme facteur. La vulnĂ©rabilitĂ© figure depuis 2021 au catalogue CISA KEV aprĂšs un usage par des acteurs de ransomware. ...

6 janvier 2026 Â· 2 min

Telegram : des marchés sinophones dopent les escroqueries crypto et le blanchiment à prÚs de 2 Md$ par mois

Contexte: Wired rapporte, sur la base d’une analyse d’Elliptic, l’essor de marchĂ©s noirs sinophones sur Telegram liĂ©s aux escroqueries crypto et Ă  des services de blanchiment. L’écosystĂšme des places de marchĂ© Telegram destinĂ©es aux escrocs crypto sinophones est dĂ©crit comme « plus vaste que jamais ». AprĂšs une brĂšve baisse consĂ©cutive au bannissement par Telegram de deux des plus grands marchĂ©s dĂ©but 2025, les deux plateformes en tĂȘte, Tudou Guarantee et Xinbi Guarantee, faciliteraient Ă  elles deux prĂšs de 2 milliards de dollars par mois en transactions de blanchiment d’argent, ventes d’outils d’escroquerie (donnĂ©es volĂ©es, faux sites d’investissement, outils d’IA deepfake) et autres services illicites. ...

6 janvier 2026 Â· 2 min
Derniùre mise à jour le: 6 juillet 2026 📝