🗞️ Contexte

Article publié le 8 avril 2026 par The Register, basé sur une interview de Cynthia Kaiser, ancienne directrice adjointe de la division cyber du FBI (départ en juin 2025) et désormais SVP au Halcyon Ransomware Research Center, lors de la RSA Conference.

🎯 Menace 1 : Pay2Key — groupe lié à l’Iran, secteur santé américain

  • Attaque survenue fin février 2026, coïncidant avec les frappes militaires américano-israéliennes contre l’Iran
  • Cible : organisation de santé américaine
  • Accès initial via un compte administrateur compromis, présent sur le réseau plusieurs jours avant l’attaque
  • Chiffrement de l’environnement en 3 heures après activation
  • Aucune exfiltration de données détectée — inhabituel pour ce groupe, suggérant une visée destructrice plutôt que financière
  • Le variant utilisé montre une mise à niveau significative par rapport aux intrusions de juillet 2025 : meilleures capacités anti-détection
  • Parallèle établi avec les attaques contre l’Albanie en 2022 : Iran présent 14 mois sur les réseaux albanais avant de transférer l’accès à un groupe d’attaque

💣 Menace 2 : Sicarii — ransomware amateur au comportement destructeur

  • Groupe apparu en décembre 2025
  • Défaut critique de conception : l’encrypteur génère une nouvelle paire de clés cryptographiques à chaque exécution mais supprime la clé privée, rendant le déchiffrement impossible
  • Résultat : le ransomware se comporte comme un wiper / destruction-ware
  • Kaiser attribue ce défaut à l’utilisation d’IA pour générer le code, assemblé de façon incohérente (« ugly-chaining »)

⚡ Menace 3 : Akira — vitesse d’exécution extrême

  • Dans la majorité de ses centaines de compromissions sur 12 mois : moins de 4 heures entre accès initial et chiffrement complet
  • Certaines attaques : moins d’une heure
  • Outil de déchiffrement doté d’un système de checkpoint pour garantir la récupération des gros fichiers même en cas d’interruption

📊 Tendances générales

  • Coût combiné ransomware + extorsion pour les entreprises et consommateurs américains : ~155 millions de dollars en 2025
  • Les wannabes utilisant l’IA représentent une menace croissante par le volume d’attaques, même si leur sophistication reste faible
  • L’IA permet à des acteurs peu qualifiés de passer de 0 % à 5-10 % d’efficacité, augmentant la pression sur les équipes défensives
  • Le dwell time (temps de présence avant détection) a drastiquement diminué chez les groupes sophistiqués

📌 Nature de l’article

Article de presse spécialisée sous forme d’interview, visant à présenter l’analyse de menace ransomware d’une experte issue du renseignement fédéral américain, avec des cas concrets investigués par Halcyon.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1078 — Valid Accounts (Initial Access)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1485 — Data Destruction (Impact)
  • T1078.002 — Valid Accounts: Domain Accounts (Persistence)

Malware / Outils

  • Pay2Key (ransomware)
  • Sicarii (ransomware)
  • Akira (ransomware)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ⬜ theregister.com — source non référencée (0pts)
  • ✅ 8989 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Pay2Key, Sicarii, Akira (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.theregister.com/2026/04/08/cynthia_kaiser_interview/