SuspectFile interviewe Securotrop, jeune groupe de ransomware

Source: SuspectFile.com — Le mĂ©dia annonce avoir conduit en aoĂ»t 2025 sa premiĂšre interview avec Securotrop, dĂ©crit comme un jeune acteur du paysage du ransomware. L’article met en avant l’existence d’un entretien direct avec le groupe Securotrop, positionnĂ© comme un nouvel acteur du ransomware. đŸ’„ L’information centrale est la tenue de cette interview par SuspectFile.com, soulignant l’intĂ©rĂȘt Ă©ditorial pour les activitĂ©s et la place de Securotrop dans l’écosystĂšme des rançongiciels. 1) Contexte gĂ©nĂ©ral Securotrop est un groupe ransomware relativement jeune, apparu initialement comme affiliĂ© d’un Ransomware-as-a-Service (RaaS) bien Ă©tabli. En 2025, le groupe utilisait le ransomware de Qilin, ce qui lui permettait de se concentrer sur les opĂ©rations (intrusion, exfiltration, nĂ©gociation) sans gĂ©rer le dĂ©veloppement logiciel. Une premiĂšre interview menĂ©e en aoĂ»t 2025 montrait dĂ©jĂ  un haut niveau de maturitĂ© opĂ©rationnelle, malgrĂ© la jeunesse du groupe. 2) Évolution majeure : passage Ă  un ransomware propriĂ©taire Securotrop opĂšre dĂ©sormais avec un ransomware entiĂšrement dĂ©veloppĂ© en interne. Cette transition n’est pas liĂ©e Ă  un conflit avec Qilin, mais Ă  une volontĂ© stratĂ©gique d’indĂ©pendance et de diffĂ©renciation de marque. Le groupe rejette explicitement toute Ă©volution vers un modĂšle RaaS. 3) Avantages opĂ©rationnels revendiquĂ©s ContrĂŽle total MaĂźtrise complĂšte de : l’encryption la gĂ©nĂ©ration et la gestion des clĂ©s les outils de dĂ©chiffrement les nĂ©gociations avec les victimes FlexibilitĂ© Le ransomware s’adapte Ă  l’infrastructure de la victime, et non l’inverse. Aucune contrainte imposĂ©e par un logiciel tiers. ContinuitĂ© et fiabilitĂ© ProcĂ©dures de tests automatisĂ©s et manuels systĂ©matiques VĂ©rification de chaque build avant dĂ©ploiement opĂ©rationnel 4) Aspects techniques clĂ©s SchĂ©ma de chiffrement standard : AES / ChaCha pour les donnĂ©es RSA pour l’obfuscation des clĂ©s Le groupe reconnaĂźt que les ransomwares diffĂšrent peu sur le plan cryptographique : les amĂ©liorations portent surtout sur la performance (CPU / I/O) L’outil ajuste dynamiquement les mĂ©thodes de chiffrement selon : la taille des donnĂ©es la capacitĂ© matĂ©rielle de la cible 5) Tactiques, techniques et procĂ©dures (TTPs) Aucune modification majeure des TTPs post-exploitation : escalade de privilĂšges mouvements latĂ©raux persistance Le chiffrement reste la toute derniĂšre Ă©tape Le timing global (accĂšs initial → exfiltration → chiffrement) reste inchangĂ© 6) Gestion des risques et OPSEC L’indĂ©pendance technique accroĂźt : les risques de fingerprinting les possibilitĂ©s d’attribution Securotrop reconnaĂźt cette exposition mais indique : mettre en place des mesures OPSEC proactives accepter que le fingerprinting soit, Ă  terme, inĂ©vitable 7) NĂ©gociation et extorsion Les capacitĂ©s de personnalisation (notes de rançon, dĂ©lais, escalade) existaient dĂ©jĂ  sous Qilin Le changement n’avait pas pour objectif principal d’amĂ©liorer la nĂ©gociation, mais l’identitĂ© du groupe 8) Positionnement stratĂ©gique Refus clair d’un modĂšle RaaS Motifs invoquĂ©s : marchĂ© saturĂ© volontĂ© de rester un acteur fermĂ© et contrĂŽlĂ© Mise en avant de “standards et principes” propres, distincts de ceux de Qilin et de ses affiliĂ©s 9) TTPs et IoCs TTPs DĂ©veloppement et exploitation d’un ransomware propriĂ©taire Double extorsion (implicite) Automatisation et tests continus Gestion centralisĂ©e des nĂ©gociations OPSEC proactive face Ă  l’attribution IoCs ❌ Aucun indicateur technique (hashs, infrastructures, domaines) communiquĂ© dans l’interview Conclusion: il s’agit d’un article de presse spĂ©cialisĂ© annonçant une interview avec un groupe liĂ© au ransomware, dont le but principal est de prĂ©senter ce contenu Ă©ditorial et son protagoniste. ...

18 dĂ©cembre 2025 Â· 3 min

Zero‑day sur les appliances e‑mail Cisco : compromission, backdoors et logs effacĂ©s

Selon un article signĂ© Zeljka Zorz relayant les analyses de Cisco Talos, une campagne active depuis fin novembre 2025 vise des appliances e‑mail Cisco au moyen d’une faille zero‑day non corrigĂ©e. Les attaquants exploitent CVE‑2025‑20393 (mauvaise validation des entrĂ©es) permettant une exĂ©cution de commandes en root sans authentification sur les OS des appliances affectĂ©es. Les cibles sont les Cisco Secure Email Gateway (physiques/virtuelles) et Cisco Secure Email and Web Manager (physiques/virtuelles) lorsque la fonction Spam Quarantine est exposĂ©e Ă  Internet. Cisco a dĂ©couvert l’activitĂ© le 10 dĂ©cembre via un cas TAC et note que les configurations non standard sont celles observĂ©es comme compromises. 🚹 ...

18 dĂ©cembre 2025 Â· 2 min

Censys dissĂšque l’infrastructure C2 de DDoSia (NoName057(16)) et son Ă©volution post‑Eastwood

Source : Censys (blog, 15 dĂ©c. 2025). Le billet de Silas Cutler enquĂȘte sur l’infrastructure derriĂšre les attaques de DDoSia, outil DDoS participatif opĂ©rĂ© par le groupe pro-russe NoName057(16), et documente son fonctionnement, son ciblage, ainsi que les effets de la perturbation par les forces de l’ordre en juillet 2025. ‱ Contexte et mode opĂ©ratoire DDoSia, lancĂ© en mars 2022 sur Telegram, est un outil de dĂ©ni de service distribuĂ© s’appuyant sur des volontaires (ordinateurs personnels, serveurs louĂ©s, hĂŽtes compromis). La distribution passe par des binaires Golang multi-plateformes (le nom interne « Go‑Stresser » est mentionnĂ©), avec des versions historiques Python. Des liens OSINT suggĂšrent un prĂ©dĂ©cesseur possible via le malware Bobik (2020). Les volontaires ne choisissent pas les cibles ; la motivation est entretenue par des rĂ©compenses financiĂšres et une propagande pro‑Russie sur Telegram. ...

17 dĂ©cembre 2025 Â· 3 min

Abus de Telegram par des malwares : exfiltration, C2 et détection (NVISO)

Source: NVISO – Depuis octobre 2025, le SOC de NVISO a observĂ© quatre tentatives d’intrusion exploitant Telegram, et propose une analyse des modes d’abus de la plateforme ainsi que des pistes concrĂštes de dĂ©tection et de chasse. ‱ Fonctionnement et abus de Telegram: la messagerie cloud, ses bots (créés via @BotFather) et ses canaux sont dĂ©tournĂ©s pour leurs avantages opĂ©rationnels. Des malwares intĂšgrent des bot tokens et chat/channel IDs, et appellent des endpoints clĂ©s comme /getMe, /sendMessage, /sendDocument, /getUpdates, /getWebhookInfo et /deleteWebhook (dont /deleteWebhook?drop_pending_updates=true pour purger l’historique des commandes), afin d’assurer fiabilitĂ©, anonymat et rĂ©silience cĂŽtĂ© attaquant. ...

16 dĂ©cembre 2025 Â· 3 min

Android 2025 : montée en flÚche des menaces mobiles et campagnes coordonnées, selon Malwarebytes

Selon Malwarebytes (rapport ThreatDown 2025 State of Malware), 2025 marque une accĂ©lĂ©ration nette des menaces sur Android avec une professionnalisation des campagnes et une industrialisation des vols de donnĂ©es et d’accĂšs. 📈 Tendances clĂ©s: les dĂ©tections d’adware ont presque doublĂ© sur la pĂ©riode juin–novembre 2025 vs dĂ©cembre 2024–mai 2025, les PUPs ont fortement augmentĂ©, et les malwares ont aussi progressĂ©. Sur l’annĂ©e prĂ©cĂ©dente, malwares et PUPs reprĂ©sentent ensemble prĂšs de 90% des dĂ©tections Android (≈43% malwares, 45% PUPs, 12% adware). Les attaques par SMS (smishing) et le vol de codes OTP sont dĂ©sormais dĂ©ployĂ©s Ă  grande Ă©chelle. ...

16 dĂ©cembre 2025 Â· 3 min

Au Luxembourg, le CLUSIL sÚme 250 clés USB pour tester la curiosité et les risques cyber

Selon l’article publiĂ© au Luxembourg le 14 dĂ©cembre 2025, le Club de la sĂ©curitĂ© des systĂšmes d’information Luxembourg (CLUSIL) a menĂ© une expĂ©rience de sensibilisation en dissĂ©minant des clĂ©s USB dans l’espace public afin d’évaluer les risques liĂ©s Ă  la curiositĂ© des utilisateurs. Le CLUSIL a semĂ© 250 clĂ©s USB dans des gares, parcs et centres d’affaires. Une organisation ayant dĂ©couvert ces supports a rĂ©agi rapidement: rĂ©union d’urgence en <45 minutes, isolement des supports, copie du contenu sur disque, mise sous coffre, puis contact d’un CERT. Le prĂ©sident du CLUSIL, CĂ©dric Mauny, a saluĂ© ces rĂ©flexes. ...

16 dĂ©cembre 2025 Â· 2 min

Chasser Mythic dans le trafic réseau : détections SMB/TCP et rÚgles Suricata

Source : Kaspersky (Security technologies, 11 dĂ©cembre 2025). Contexte : l’article analyse comment identifier le framework de post‑exploitation open source Mythic dans le trafic rĂ©seau, alors que ces outils (Mythic, Sliver, Havoc, Adaptix C2) sont de plus en plus utilisĂ©s par des acteurs malveillants, dont Mythic Likho (Arcane Wolf) et GOFFEE (Paper Werewolf). Le focus porte sur la tactique MITRE ATT&CK Command and Control (TA0011) et la dĂ©tection NDR/IDS. ‱ Aperçu du framework et des canaux C2. Mythic multiplie agents (Go, Python, C#) et transports (HTTP/S, WebSocket, TCP, SMB, DNS, MQTT). Deux architectures sont dĂ©crites : P2P entre agents via SMB/TCP, ou communication directe vers le serveur C2 via HTTP/S, WebSocket, MQTT ou DNS. Les agents priorisent l’évasion EDR, mais restent dĂ©tectables via l’analyse rĂ©seau. ...

16 dĂ©cembre 2025 Â· 3 min

CISA publie les Cybersecurity Performance Goals 2.0 pour les infrastructures critiques

Source : CISA — Le 11 dĂ©cembre 2025, la CISA a publiĂ© une mise Ă  jour des Cross-Sector Cybersecurity Performance Goals (CPG 2.0) destinĂ©e aux propriĂ©taires et opĂ©rateurs d’infrastructures critiques, avec des actions mesurables pour Ă©tablir un socle de cybersĂ©curitĂ©. CPG 2.0 intĂšgre des enseignements tirĂ©s des retours d’expĂ©rience, s’aligne sur les rĂ©visions les plus rĂ©centes du NIST Cybersecurity Framework et cible les menaces les plus courantes et impactantes qui pĂšsent aujourd’hui sur les infrastructures critiques. ...

16 dĂ©cembre 2025 Â· 2 min

Cyberattaque au ministĂšre de l’IntĂ©rieur français : revendication d’accĂšs au TAJ/FPR et ultimatum sur BreachForums

Selon La Voix du Nord, le ministĂšre de l’IntĂ©rieur a confirmĂ© une cyberattaque survenue dans la nuit du 11 au 12 dĂ©cembre 2025, tandis qu’un message publiĂ© le 13 dĂ©cembre sur BreachForums revendique une compromission bien plus large avec accĂšs Ă  des fichiers sensibles. Un groupe de hackers affirme avoir « compromis » le rĂ©seau du ministĂšre de l’IntĂ©rieur et eu accĂšs Ă  des bases hautement sensibles, notamment le TAJ (Traitement des antĂ©cĂ©dents judiciaires) et le FPR (Fichier des personnes recherchĂ©es), potentiellement concernant 16,4 millions de Français. Ils prĂ©tendent aussi avoir touchĂ© la DGFiP (impĂŽts) et la CNAV (retraites). L’attaque est prĂ©sentĂ©e comme une reprĂ©saille au dĂ©mantĂšlement du groupe « Shiny Hunters » par la France. ⚠ ...

16 dĂ©cembre 2025 Â· 2 min

Cyberattaque chez PDVSA perturbe les exportations de pétrole

Selon BleepingComputer, PetrĂłleos de Venezuela (PDVSA), la compagnie pĂ©troliĂšre d’État du Venezuela, a Ă©tĂ© touchĂ©e par une cyberattaque survenue durant le week-end, provoquant une perturbation des opĂ©rations d’exportation. 1) Fait principal PetrĂłleos de Venezuela (PDVSA), la compagnie pĂ©troliĂšre nationale vĂ©nĂ©zuĂ©lienne, a Ă©tĂ© victime d’un cyberincident durant le week-end. L’attaque a provoquĂ© des perturbations significatives des systĂšmes informatiques, avec des effets signalĂ©s sur les exportations de pĂ©trole brut. PDVSA affirme officiellement que les opĂ©rations industrielles n’ont pas Ă©tĂ© affectĂ©es, tandis que des sources internes contredisent partiellement cette version. 2) Version officielle de PDVSA Dans un communiquĂ© publiĂ© lundi, PDVSA indique : ...

16 dĂ©cembre 2025 Â· 3 min
Derniùre mise à jour le: 7 juillet 2026 📝