📊 Contexte : GuidePoint Security publie son rapport trimestriel GRIT Q2 2026 (avril–juin 2026), couvrant l’ensemble de l’Ă©cosystĂšme ransomware et des menaces cyber sur la pĂ©riode. Il s’appuie sur des donnĂ©es publiques issues des sites de fuite des groupes criminels.

🔱 Chiffres clĂ©s du trimestre :

  • 2 279 victimes dĂ©clarĂ©es publiquement, soit +7% par rapport au Q1 2026 et +43% en glissement annuel
  • 91 groupes distincts actifs, record absolu observĂ© par GRIT
  • 108 pays ciblĂ©s (contre 97 au Q1 2026)
  • Les États-Unis reprĂ©sentent 32% des victimes, en baisse historique par rapport aux ~50% habituels

🏆 Groupes les plus actifs :

  • Qilin : 1er pour le 5e trimestre consĂ©cutif (13% des victimes)
  • The Gentlemen : 2e (12%), ascension la plus rapide jamais observĂ©e par GRIT
  • DragonForce : 3e, progression constante
  • Akira : en recul, dĂ©pendant de campagnes d’exploitation massives
  • LockBit 5.0 : 5% de parts de marchĂ© malgrĂ© les sanctions

🏭 Secteurs les plus touchĂ©s : Manufacturing (1er depuis plusieurs annĂ©es), Technology, Retail/Wholesale, Healthcare, Consulting (entrĂ©e dans le Top 5), Legal, Construction, Government, Engineering, Entertainment/Hospitality/Tourism.

đŸ€– Usage de l’IA par les acteurs malveillants :

  • FulcrumSec utilise des LLMs pour analyser des bases de donnĂ©es exfiltrĂ©es complexes et ancrer les nĂ©gociations de rançon avec prĂ©cision technique
  • DragonForce utilise des LLMs pour gĂ©nĂ©rer une pression psychologique plausible (ex : prĂ©tendre disposer de conseillers juridiques)
  • L’IA abaisse la barriĂšre d’entrĂ©e et rĂ©duit les marqueurs linguistiques utilisĂ©s pour l’attribution

🔓 VulnĂ©rabilitĂ©s notables exploitĂ©es :

  • CVE-2026-50751 (Check Point Security Gateway) : bypass d’authentification IKEv1, exploitĂ© par Qilin en zero-day depuis le 7 mai 2026
  • CVE-2026-48027 (Nx Console VS Code Extension) : compromission supply chain, liĂ© Ă  la campagne Megalodon et Ă  la violation de GitHub
  • CVE-2026-46817 (Oracle E-Business Suite Payments) : accĂšs non authentifiĂ©, associĂ© Ă  Cl0p
  • CVE-2026-35273 (Oracle PeopleSoft PeopleTools) : accĂšs HTTP non authentifiĂ©, liĂ© Ă  ShinyHunters
  • CVE-2026-33825 (Windows Defender) : Ă©lĂ©vation de privilĂšges « BlueHammer », patchĂ© en avril
  • CVE-2026-0257 (Palo Alto PAN-OS GlobalProtect) : bypass d’authentification VPN
  • CVE-2024-40766 (SonicWall SonicOS SSL VPN) : exploitĂ© massivement par Akira en 2024–2025

📅 ÉvĂ©nements significatifs du trimestre :

  • Avril 2026 : CISA alerte sur l’exploitation de PLCs Rockwell Automation par des acteurs iraniens (AA26-097A)
  • Avril 2026 : Tyler Robert Buchanan (Scattered Spider) plaide coupable pour fraude et usurpation d’identitĂ©
  • Avril 2026 : CISA attribue le botnet Raptor Train (200 000 appareils) Ă  Integrity Technology, utilisĂ© par Volt Typhoon et Flax Typhoon
  • Mai 2026 : ShinyHunters (SLSH/UNC6240) compromet Instructure Canvas (9 000 institutions)
  • Mai 2026 : La FIOD nĂ©erlandaise arrĂȘte Andrey Nesterenko et Youssef Zinad, saisit 800+ serveurs MIRhosting/Stark Industries Solutions
  • Juin 2026 : Des hackers pro-iraniens exploitent le bot IA de support Meta pour compromettre des comptes Instagram
  • Juin 2026 : Icarus exploite une credential Klue pĂ©rimĂ©e pour exfiltrer des donnĂ©es CRM Salesforce via OAuth

💰 Analyse des paiements Akira vs Qilin (H1 2026) :

  • Akira : chute de 78 paiements ($42M) en H1 2025 Ă  39 paiements ($8,7M) en H1 2026 (-50% en volume, -80% en montant), liĂ©e Ă  l’absence de campagne d’exploitation massive post-CVE-2024-40766
  • Qilin : 43 paiements ($19,9M) en H1 2026 contre 65 ($26,8M) en H1 2025, mais 659 victimes revendiquĂ©es contre 326, signalant une baisse du taux de paiement effectif

🎯 Tendances structurelles :

  • MontĂ©e de l’extorsion par donnĂ©es seules (sans chiffrement) : FulcrumSec, TeamPCP, Icarus, ShinyHunters
  • Escalade des attaques supply chain : Axios NPM, TanStack Router, campagne Megalodon (GitHub Actions), extension VS Code Nx Console
  • PROMPTSPY : backdoor Android utilisant l’API Gemini pour naviguer de façon autonome
  • Taux de paiement de rançon en baisse globale selon Coveware

📄 Type d’article : Rapport trimestriel de threat intelligence publiĂ© par GuidePoint Security (GRIT), destinĂ© Ă  fournir une vue agrĂ©gĂ©e et analytique de l’Ă©cosystĂšme ransomware pour les Ă©quipes de sĂ©curitĂ© et dĂ©cideurs.

🧠 TTPs et IOCs dĂ©tectĂ©s

Acteurs de menace

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1133 — External Remote Services (Initial Access)
  • T1078 — Valid Accounts (Initial Access)
  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1567 — Exfiltration Over Web Service (Exfiltration)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1657 — Financial Theft (Impact)
  • T1588.006 — Obtain Capabilities: Vulnerabilities (Resource Development)
  • T1566 — Phishing (Initial Access)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1530 — Data from Cloud Storage (Collection)
  • T1098 — Account Manipulation (Persistence)

IOC

  • CVEs : CVE-2026-50751 — NVD · CIRCL
  • CVEs : CVE-2026-48027 — NVD · CIRCL
  • CVEs : CVE-2026-46817 — NVD · CIRCL
  • CVEs : CVE-2026-35273 — NVD · CIRCL
  • CVEs : CVE-2026-33825 — NVD · CIRCL
  • CVEs : CVE-2026-0257 — NVD · CIRCL
  • CVEs : CVE-2024-40766 — NVD · CIRCL
  • CVEs : CVE-2025-61882 — NVD · CIRCL

Malware / Outils

  • PROMPTSPY (backdoor)

🟡 Indice de vĂ©rification factuelle : 55/100 (moyenne)

  • ⬜ guidepointsecurity.com — source non rĂ©fĂ©rencĂ©e (0pts)
  • ✅ 67994 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 8 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vĂ©rifiĂ© (0pts)
  • ✅ 12 TTPs MITRE identifiĂ©es (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifiĂ©(s) : Qilin, The Gentlemen, DragonForce (5pts)
  • ⬜ 0/5 CVE(s) confirmĂ©e(s) (0pts)

🔗 Source originale : https://www.guidepointsecurity.com/resources/grit-q2-2026-ransomware-cyber-threat-insights-report/