đ Contexte : GuidePoint Security publie son rapport trimestriel GRIT Q2 2026 (avrilâjuin 2026), couvrant l’ensemble de l’Ă©cosystĂšme ransomware et des menaces cyber sur la pĂ©riode. Il s’appuie sur des donnĂ©es publiques issues des sites de fuite des groupes criminels.
đą Chiffres clĂ©s du trimestre :
- 2 279 victimes déclarées publiquement, soit +7% par rapport au Q1 2026 et +43% en glissement annuel
- 91 groupes distincts actifs, record absolu observé par GRIT
- 108 pays ciblés (contre 97 au Q1 2026)
- Les Ătats-Unis reprĂ©sentent 32% des victimes, en baisse historique par rapport aux ~50% habituels
đ Groupes les plus actifs :
- Qilin : 1er pour le 5e trimestre consécutif (13% des victimes)
- The Gentlemen : 2e (12%), ascension la plus rapide jamais observée par GRIT
- DragonForce : 3e, progression constante
- Akira : en recul, dĂ©pendant de campagnes d’exploitation massives
- LockBit 5.0 : 5% de parts de marché malgré les sanctions
đ Secteurs les plus touchĂ©s : Manufacturing (1er depuis plusieurs annĂ©es), Technology, Retail/Wholesale, Healthcare, Consulting (entrĂ©e dans le Top 5), Legal, Construction, Government, Engineering, Entertainment/Hospitality/Tourism.
đ€ Usage de l’IA par les acteurs malveillants :
- FulcrumSec utilise des LLMs pour analyser des bases de données exfiltrées complexes et ancrer les négociations de rançon avec précision technique
- DragonForce utilise des LLMs pour générer une pression psychologique plausible (ex : prétendre disposer de conseillers juridiques)
- L’IA abaisse la barriĂšre d’entrĂ©e et rĂ©duit les marqueurs linguistiques utilisĂ©s pour l’attribution
đ VulnĂ©rabilitĂ©s notables exploitĂ©es :
- CVE-2026-50751 (Check Point Security Gateway) : bypass d’authentification IKEv1, exploitĂ© par Qilin en zero-day depuis le 7 mai 2026
- CVE-2026-48027 (Nx Console VS Code Extension) : compromission supply chain, lié à la campagne Megalodon et à la violation de GitHub
- CVE-2026-46817 (Oracle E-Business Suite Payments) : accÚs non authentifié, associé à Cl0p
- CVE-2026-35273 (Oracle PeopleSoft PeopleTools) : accÚs HTTP non authentifié, lié à ShinyHunters
- CVE-2026-33825 (Windows Defender) : élévation de privilÚges « BlueHammer », patché en avril
- CVE-2026-0257 (Palo Alto PAN-OS GlobalProtect) : bypass d’authentification VPN
- CVE-2024-40766 (SonicWall SonicOS SSL VPN) : exploitĂ© massivement par Akira en 2024â2025
đ ĂvĂ©nements significatifs du trimestre :
- Avril 2026 : CISA alerte sur l’exploitation de PLCs Rockwell Automation par des acteurs iraniens (AA26-097A)
- Avril 2026 : Tyler Robert Buchanan (Scattered Spider) plaide coupable pour fraude et usurpation d’identitĂ©
- Avril 2026 : CISA attribue le botnet Raptor Train (200 000 appareils) à Integrity Technology, utilisé par Volt Typhoon et Flax Typhoon
- Mai 2026 : ShinyHunters (SLSH/UNC6240) compromet Instructure Canvas (9 000 institutions)
- Mai 2026 : La FIOD nĂ©erlandaise arrĂȘte Andrey Nesterenko et Youssef Zinad, saisit 800+ serveurs MIRhosting/Stark Industries Solutions
- Juin 2026 : Des hackers pro-iraniens exploitent le bot IA de support Meta pour compromettre des comptes Instagram
- Juin 2026 : Icarus exploite une credential Klue périmée pour exfiltrer des données CRM Salesforce via OAuth
đ° Analyse des paiements Akira vs Qilin (H1 2026) :
- Akira : chute de 78 paiements ($42M) en H1 2025 Ă 39 paiements ($8,7M) en H1 2026 (-50% en volume, -80% en montant), liĂ©e Ă l’absence de campagne d’exploitation massive post-CVE-2024-40766
- Qilin : 43 paiements ($19,9M) en H1 2026 contre 65 ($26,8M) en H1 2025, mais 659 victimes revendiquées contre 326, signalant une baisse du taux de paiement effectif
đŻ Tendances structurelles :
- MontĂ©e de l’extorsion par donnĂ©es seules (sans chiffrement) : FulcrumSec, TeamPCP, Icarus, ShinyHunters
- Escalade des attaques supply chain : Axios NPM, TanStack Router, campagne Megalodon (GitHub Actions), extension VS Code Nx Console
- PROMPTSPY : backdoor Android utilisant l’API Gemini pour naviguer de façon autonome
- Taux de paiement de rançon en baisse globale selon Coveware
đ Type d’article : Rapport trimestriel de threat intelligence publiĂ© par GuidePoint Security (GRIT), destinĂ© Ă fournir une vue agrĂ©gĂ©e et analytique de l’Ă©cosystĂšme ransomware pour les Ă©quipes de sĂ©curitĂ© et dĂ©cideurs.
đ§ TTPs et IOCs dĂ©tectĂ©s
Acteurs de menace
- Qilin (cybercriminal) â
- The Gentlemen (cybercriminal) â orkl.eu · Malpedia
- DragonForce (cybercriminal) â orkl.eu · Malpedia
- Akira (cybercriminal) â orkl.eu · Malpedia · MITRE ATT&CK
- LockBit (cybercriminal) â MITRE ATT&CK
- FulcrumSec (cybercriminal) â orkl.eu · Malpedia
- ShinyHunters (cybercriminal) â orkl.eu · Malpedia
- TeamPCP (cybercriminal) â orkl.eu · Malpedia
- Icarus (cybercriminal) â
- Cl0p (cybercriminal) â
- Scattered Spider (cybercriminal) â orkl.eu · Malpedia · MITRE ATT&CK
- Volt Typhoon (state-sponsored) â orkl.eu · Malpedia · MITRE ATT&CK
- Flax Typhoon (state-sponsored) â orkl.eu · Malpedia
- Beast (cybercriminal) â
- BrainCipher (cybercriminal) â
- Silent Ransom Group (cybercriminal) â
- Nova (cybercriminal) â
- RansomHub (cybercriminal) â orkl.eu · Malpedia
TTP
- T1190 â Exploit Public-Facing Application (Initial Access)
- T1133 â External Remote Services (Initial Access)
- T1078 â Valid Accounts (Initial Access)
- T1195.002 â Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
- T1567 â Exfiltration Over Web Service (Exfiltration)
- T1486 â Data Encrypted for Impact (Impact)
- T1657 â Financial Theft (Impact)
- T1588.006 â Obtain Capabilities: Vulnerabilities (Resource Development)
- T1566 â Phishing (Initial Access)
- T1552.001 â Unsecured Credentials: Credentials In Files (Credential Access)
- T1530 â Data from Cloud Storage (Collection)
- T1098 â Account Manipulation (Persistence)
IOC
- CVEs :
CVE-2026-50751â NVD · CIRCL - CVEs :
CVE-2026-48027â NVD · CIRCL - CVEs :
CVE-2026-46817â NVD · CIRCL - CVEs :
CVE-2026-35273â NVD · CIRCL - CVEs :
CVE-2026-33825â NVD · CIRCL - CVEs :
CVE-2026-0257â NVD · CIRCL - CVEs :
CVE-2024-40766â NVD · CIRCL - CVEs :
CVE-2025-61882â NVD · CIRCL
Malware / Outils
- PROMPTSPY (backdoor)
đĄ Indice de vĂ©rification factuelle : 55/100 (moyenne)
- ⏠guidepointsecurity.com â source non rĂ©fĂ©rencĂ©e (0pts)
- â 67994 chars â texte complet (fulltext extrait) (15pts)
- â 8 IOCs (IPs/domaines/CVEs) (10pts)
- ⏠pas d’IOC vĂ©rifiĂ© (0pts)
- â 12 TTPs MITRE identifiĂ©es (15pts)
- â date extraite du HTML source (10pts)
- â acteur(s) identifiĂ©(s) : Qilin, The Gentlemen, DragonForce (5pts)
- ⏠0/5 CVE(s) confirmée(s) (0pts)
đ Source originale : https://www.guidepointsecurity.com/resources/grit-q2-2026-ransomware-cyber-threat-insights-report/