L’article publié par Coveware met en lumière une évolution significative dans les opérations de ransomware, qui passent de simples attaques opportunistes à des campagnes de social engineering hautement ciblées. Trois groupes majeurs, Scattered Spider, Silent Ransom, et Shiny Hunters, illustrent cette tendance en se concentrant sur des secteurs spécifiques et en utilisant des attaques sophistiquées basées sur l’identité.
Les paiements moyens de rançon ont doublé au deuxième trimestre 2025, atteignant plus de 1,1 million de dollars, bien que le taux global de paiement reste faible à 26%. La disparition des modèles traditionnels de RaaS a conduit à une victimologie plus ciblée, avec un risque accru pour les grandes entreprises, les acteurs malveillants investissant davantage de ressources dans un nombre réduit de cibles de haute valeur.
Le rapport identifie des changements tactiques clés tels que l’usurpation d’identité par Scattered Spider pour compromettre les opérations de helpdesk, l’ingénierie sociale inversée de Silent Ransom ciblant des postes de travail individuels, et l’attaque de Shiny Hunters sur le personnel BPO pour accéder aux environnements Salesforce. Les vecteurs d’attaque principaux restent les intrusions basées sur les identifiants (VPN exposés, identifiants volés), l’ingénierie sociale via des canaux de confiance (vishing sur Microsoft Teams, empoisonnement SEO), et l’exploitation de vulnérabilités logicielles.
L’analyse du cadre MITRE ATT&CK montre que l’exfiltration est la tactique dominante (74% des cas), suivie du mouvement latéral (60%) et des opérations d’impact (47%), avec un accent croissant sur le ciblage des infrastructures de sauvegarde.
Cet article est une analyse de menace visant à informer sur les tendances actuelles des cyberattaques, en mettant en avant les tactiques, techniques et procédures (TTP) utilisées par les acteurs malveillants.
🧠 TTPs détectés
TTP
Usurpation d’identité pour compromettre les opérations de helpdesk, ingénierie sociale inversée ciblant des postes de travail individuels, attaque sur le personnel BPO pour accéder aux environnements Salesforce, intrusions basées sur les identifiants (VPN exposés, identifiants volés), ingénierie sociale via des canaux de confiance (vishing sur Microsoft Teams, empoisonnement SEO), exploitation de vulnérabilités logicielles, exfiltration de données, mouvement latéral, ciblage des infrastructures de sauvegarde
🔗 Source originale : https://www.coveware.com/blog/2025/7/21/targeted-social-engineering-is-en-vogue-as-ransom-payment-sizes-increase