‘Tank’ (Vyacheslav Penchukov) brise le silence: de Zeus au ransomware et à Evil Corp

Source: BBC (BBC World Service). Dans une interview exclusive en prison menĂ©e par Joe Tidy đŸŽ™ïž, Vyacheslav “Tank” Penchukov, ex-membre clĂ© de la cyber-escĂšne, raconte son parcours de la bande Jabber Zeus Ă  IcedID et Ă  l’écosystĂšme du ransomware, livrant des dĂ©tails sur les gangs, leurs mĂ©thodes et des acteurs encore en cavale, dont l’énigmatique tĂȘte prĂ©sumĂ©e d’Evil Corp. Dans les annĂ©es 2000, Penchukov dirige la redoutĂ©e Ă©quipe Jabber Zeus, combinant le malware bancaire Zeus et la messagerie Jabber pour voler directement sur les comptes de PME, collectivitĂ©s et associations. Au Royaume-Uni, plus de 600 victimes perdent plus de ÂŁ4M en trois mois. IdentifiĂ© aprĂšs l’interception de chats, il Ă©chappe Ă  l’opĂ©ration Trident Breach de l’FBI en Ukraine, avant de tenter une reconversion (commerce de charbon) puis de replonger, Ă©voquant pressions financiĂšres et contexte politique (CrimĂ©e). ...

15 novembre 2025 Â· 3 min

Alerte #StopRansomware: avis conjoint CISA/FBI actualisé sur Akira avec nouvelles TTPs/IOCs et menace imminente

Source et contexte: Avis conjoint TLP:CLEAR des agences amĂ©ricaines FBI, CISA, DC3 et HHS, avec la participation d’Europol EC3, de l’Office Anti-CybercriminalitĂ© (France), d’autoritĂ©s allemandes et du NCSC-NL (Pays-Bas), mis Ă  jour le 13 novembre 2025 dans le cadre de l’initiative #StopRansomware. 🚹 Aperçu de la menace: Les acteurs d’Akira (associĂ©s Ă  Storm-1567, Howling Scorpius, Punk Spider, Gold Sahara, et possiblement liĂ©s Ă  Conti) ciblent surtout les PME mais aussi de grandes organisations, avec une prĂ©fĂ©rence pour les secteurs de la manufacture, Ă©ducation, IT, santĂ©, services financiers et agroalimentaire. Depuis 2023, Akira opĂšre sur Windows et Linux/ESXi; en juin 2025, premiĂšre attaque sur Nutanix AHV via l’abus de CVE-2024-40766 (SonicWall). Fin septembre 2025, le groupe revendique environ 244,17 M$ de rançons. Des exfiltrations ont Ă©tĂ© observĂ©es en un peu plus de 2 heures aprĂšs l’accĂšs initial. Le schĂ©ma reste double extorsion. Le binaire Megazord serait probablement tombĂ© en dĂ©suĂ©tude depuis 2024. ...

15 novembre 2025 Â· 3 min

Anthropic signale une campagne de cyberespionnage orchestrée par IA, les experts relativisent

Source: Ars Technica (Dan Goodin) rapporte qu’Anthropic dit avoir observĂ© la « premiĂšre campagne de cyberespionnage orchestrĂ©e par IA », attribuĂ©e Ă  un acteur Ă©tatique chinois, tandis que des experts externes en minimisent la portĂ©e. Anthropic dĂ©crit une opĂ©ration de cyberespionnage menĂ©e par un groupe soutenu par la Chine (suivi comme GTG-1002) qui aurait utilisĂ© Claude/Claude Code comme moteur d’exĂ©cution dans un cadre d’attaque autonome, automatisant jusqu’à 90% des tĂąches, avec seulement 4 Ă  6 points de dĂ©cision humains. L’orchestration dĂ©coupe les opĂ©rations en sous-tĂąches (reconnaissance, accĂšs initial, persistance, exfiltration), enchaĂźnĂ©es via une logique d’état et, souvent, le Model Context Protocol (MCP). Les cibles incluaient au moins 30 organisations (grands acteurs technologiques et agences gouvernementales), mais seule une « petite fraction » des intrusions a abouti. ...

15 novembre 2025 Â· 2 min

Australie: forte baisse des rançons payées et recul du taux de paiement

L’article rapporte une baisse marquĂ©e des paiements de rançon par les entreprises australiennes face aux attaques par ransomware. 📉 La rançon moyenne payĂ©e par les entreprises en Australie est tombĂ©e Ă  711 000 AUD, presque divisĂ©e par deux par rapport au pic de 1,35 million AUD l’an dernier. Cette Ă©volution reflĂšte des changements d’attitude parmi les dirigeants et une meilleure prĂ©paration du secteur. 💾 Les taux de paiement reculent nettement: un sondage auprĂšs de plus de 800 propriĂ©taires et cadres d’entreprises australiennes indique que 64 % des victimes de ransomware au cours des cinq derniĂšres annĂ©es ont payĂ©, contre 84 % l’an passĂ©. ...

15 novembre 2025 Â· 1 min

Cinq personnes plaident coupable aux États‑Unis pour avoir aidĂ© la CorĂ©e du Nord via fraude IT Ă  distance et vols de cryptomonnaies

Selon BleepingComputer, le DĂ©partement de la Justice des États‑Unis (DoJ) a annoncĂ© que cinq individus ont plaidĂ© coupable pour leur rĂŽle dans des stratagĂšmes de gĂ©nĂ©ration de revenus illicites au profit de la CorĂ©e du Nord. Le cƓur de l’affaire porte sur une opĂ©ration de police visant des mĂ©canismes de fraude d’employĂ©s IT Ă  distance et de vols de cryptomonnaies. Les personnes impliquĂ©es ont admis avoir participĂ© Ă  ces activitĂ©s destinĂ©es Ă  alimenter des revenus illicites. ...

15 novembre 2025 Â· 1 min

Cyberattaque chez woom GmbH : systÚmes rétablis, données clients partiellement touchées

Le fabricant autrichien de vĂ©los pour enfants woom GmbH a Ă©tĂ© victime le 7 novembre 2025 d’un cyberattaque coordonnĂ©e menĂ©e par une groupe international de hackers, dans le cadre d’une offensive touchant simultanĂ©ment plusieurs entreprises europĂ©ennes. L’entreprise a confirmĂ© un accĂšs non autorisĂ© Ă  certaines parties de son systĂšme d’information. Faits clĂ©s L’attaque a ciblĂ© plusieurs systĂšmes internes de woom. L’entreprise a activĂ© immĂ©diatement son Ă©quipe de crise et fait intervenir l’agence spĂ©cialisĂ©e Cyberschutz. Les systĂšmes compromis ont Ă©tĂ© isolĂ©s, analysĂ©s puis entiĂšrement restaurĂ©s. Selon les premiĂšres informations, certaines donnĂ©es clients pourraient ĂȘtre concernĂ©es, mais : aucune donnĂ©e sensible (paiements, mots de passe) n’aurait Ă©tĂ© compromise. Les clients potentiellement affectĂ©s seront informĂ©s dĂšs la fin de l’enquĂȘte. ConsĂ©quences Pas d’interruption durable des opĂ©rations : les systĂšmes sont de nouveau opĂ©rationnels. Risque limitĂ© mais rĂ©el : des donnĂ©es clients non sensibles pourraient avoir Ă©tĂ© exposĂ©es. L’entreprise renforce ses investissements en sĂ©curitĂ© : firewalls avancĂ©s, chiffrement multicouche, formation du personnel. Impact rĂ©putationnel potentiel pour une marque positionnĂ©e sur la confiance et la qualitĂ©. Situation actuelle Le cyberattaque est contenu. Les systĂšmes de woom sont entiĂšrement restaurĂ©s. Aucune preuve que des donnĂ©es sensibles aient Ă©tĂ© compromises. L’enquĂȘte interne se poursuit pour dĂ©terminer l’ampleur exacte du vol de donnĂ©es. Les clients concernĂ©s seront notifiĂ©s conformĂ©ment aux obligations lĂ©gales. Type d’article : annonce d’incident visant Ă  informer de l’attaque, de l’état de rĂ©tablissement des systĂšmes et de l’impact partiel sur les donnĂ©es clients. ...

15 novembre 2025 Â· 2 min

DPRKxa0: des «xa0IT workersxa0» deviennent recruteurs pour industrialiser l’usurpation d’identitĂ©s sur les plateformes freelance

Source et contexte: SEAL Intel publie une analyse dĂ©taillĂ©e dĂ©crivant une Ă©volution des tactiques des « IT Workers » liĂ©s Ă  la DPRK, qui agissent dĂ©sormais comme recruteurs pour scaler l’accĂšs Ă  des comptes vĂ©rifiĂ©s sur des plateformes freelance et opĂ©rer sous des identitĂ©s lĂ©gitimes. ‱ Le rapport met en Ă©vidence l’émergence d’un modĂšle opĂ©rationnel en 8 Ă©tapes, partagĂ© depuis 2024, oĂč des profils DPRK passent du simple job-seeking au recrutement coordonnĂ© de « collaborateurs ». Objectif: obtenir des comptes vĂ©rifiĂ©s et des IP propres pour contourner les contrĂŽles, tout en obscurcissant l’attribution et en maximisant les revenus. ...

15 novembre 2025 Â· 3 min

Faux Google Play sur Android diffuse le dropper « GPT Trade » qui installe BTMob et UASecurity Miner

D3Lab a dĂ©couvert un faux site imitant le Google Play Store destinĂ© Ă  distribuer une application Android frauduleuse nommĂ©e GPT Trade, se prĂ©sentant comme un assistant de trading basĂ© sur l’IA et utilisant un branding ressemblant Ă  OpenAI/ChatGPT. En rĂ©alitĂ©, l’APK est un dropper multi-Ă©tapes conçu pour installer deux malwares puissants : BTMob (spyware Android trĂšs invasif) UASecurity Miner (module persistant liĂ© Ă  un packer Android abusĂ© par les cybercriminels) Cette campagne illustre un Ă©cosystĂšme moderne combinant phishing d’app store, packer-as-a-service, Telegram bots et infrastructure multi-C2. ...

15 novembre 2025 Â· 3 min

Kraken: nouveau groupe ransomware issu de HelloKitty, double extorsion et cibles Windows/Linux/ESXi

Selon le blog Talos Intelligence (Cisco Talos), des intrusions observĂ©es en aoĂ»t 2025 attribuĂ©es au groupe ransomware Kraken montrent des campagnes de big‑game hunting avec double extorsion, une filiation probable avec HelloKitty et des outils et TTPs avancĂ©s visant Windows, Linux et VMware ESXi. – Qui est Kraken ? Ce groupe, apparu en fĂ©vrier 2025, exploite la double extorsion et se montre opportuniste, sans verticales dĂ©diĂ©es. Son site de fuite recense des victimes aux États‑Unis, Royaume‑Uni, Canada, Danemark, Panama et KoweĂŻt. Les fichiers chiffrĂ©s portent l’extension .zpsc et une note de rançon readme_you_ws_hacked.txt redirige les victimes vers une URL onion. Dans un cas, une demande d’environ 1 M$ en Bitcoin a Ă©tĂ© observĂ©e. Le groupe a annoncĂ© un forum souterrain, The Last Haven Board, prĂ©tendant offrir un canal anonyme et sĂ©curisĂ©, avec un message de soutien de l’équipe HelloKitty et de WeaCorp, renforçant les liens supposĂ©s avec HelloKitty. ...

15 novembre 2025 Â· 4 min

La Commission européenne formalise le Cloud Sovereignty Framework v1.2.1 pour les offres cloud

Source: Commission europĂ©enne (DG for Digital Services) — Contexte: publication du « Cloud Sovereignty Framework » v1.2.1 (octobre 2025), dĂ©finissant objectifs, niveaux d’assurance et mĂ©thode de scoring pour Ă©valuer la souverainetĂ© des services cloud dans les procĂ©dures de marchĂ©s publics. Le document prĂ©cise 8 objectifs de souverainetĂ© (SOV-1 Ă  SOV-8) s’appuyant sur des rĂ©fĂ©rentiels et initiatives europĂ©ens (CIGREF v2, Gaia-X, ENISA/NIS2/DORA) et sur des retours d’expĂ©rience nationaux (France « Cloud de Confiance », Allemagne « SouverĂ€ner Cloud »). Les objectifs couvrent: ...

15 novembre 2025 Â· 3 min
Derniùre mise à jour le: 8 juillet 2026 📝