Akira

🗞️ Contexte Source : Blick.ch (ATS – Agence télégraphique suisse), publié le 21 juin 2026. L’article rapporte les suites institutionnelles et politiques d’une cyberattaque par ransomware ayant ciblé la filiale américaine de Ruag, entreprise d’armement appartenant à la Confédération suisse. 🎯 Incident Le groupe cybercriminel Akira a attaqué les systèmes informatiques de Ruag LLC, filiale basée en Virginie (États-Unis), à l’automne 2025. L’attaque a impliqué une double extorsion : vol de données, chiffrement, puis menace de publication sur le dark web en échange d’une rançon. ...

📉 150 revendications cette semaine (-17, -10.2% par rapport à S22) Période : 01.06.2026 au 07.06.2026 Analyse Ransomware — Semaine 23 (01.06.2026 – 07.06.2026) Source : eCrime.ch — Données agrégées, aucune victime individuelle n’est identifiée. Vue d’ensemble La semaine 23 enregistre 150 revendications d’attaques par rançongiciel, soit une baisse de 17 revendications par rapport à la semaine précédente (167 revendications en S22), représentant un recul de 10,2 %. Cette diminution s’inscrit dans un contexte où le volume global reste néanmoins élevé, avec une moyenne supérieure à 20 revendications par jour. ...

🗓️ Contexte Source : Blick.ch (ATS), publié le 6 juin 2026. L’article rapporte la confirmation publique par le président du conseil d’administration de Ruag, Jürg Rötheli, du paiement d’une rançon à la suite d’une cyberattaque survenue en automne 2025. 🎯 Victime et périmètre de l’attaque Victime principale : Ruag LLC, filiale américaine de Ruag (entreprise d’armement appartenant à la Confédération suisse), basée en Virginie (USA) La filiale emploie 8 personnes et sert de bureau de liaison avec des partenaires américains (pièces de rechange pour avions de combat, maintenance) Les systèmes informatiques de la filiale sont autonomes, ce qui a limité l’impact sur le reste du groupe 🦠 Acteur de la menace et mode opératoire Le groupe Akira, apparu en mars 2023, est responsable de l’attaque. Il pratique la double extorsion : ...

📉 167 revendications cette semaine (-4, -2.3% par rapport à S21) Période : 25.05.2026 au 31.05.2026 Analyse Ransomware — Semaine 22 / 2026 (25 au 31 mai 2026) Source : eCrime.ch — Données basées sur les revendications publiques observées Vue d’ensemble La semaine 22 enregistre 167 revendications de compromissions par rançongiciel, soit une légère baisse de 2,3 % par rapport à la semaine précédente (171 revendications, soit −4 en valeur absolue). Le volume global reste stable, sans rupture notable de tendance à ce stade. ...

🔍 Contexte Publié le 28 mai 2026 sur le SANS Internet Storm Center par Manuel Humberto Santander Peláez (Handler SANS ISC), cet article présente la reconstruction complète d’une kill chain Akira ransomware dans une organisation de taille moyenne, en utilisant exclusivement des syslogs SSLVPN de pare-feu et des exports EVTX Windows (canaux Security, System, PowerShell/Operational). Aucun EDR, aucun PCAP, aucun proxy log n’était disponible. 🚪 Accès initial (Stage 1) L’attaquant a conduit une attaque par brute-force ciblant un compte SSLVPN local unique, depuis une seule adresse IP dans une plage d’hébergeur. Le compte était désactivé dans Active Directory mais toujours provisionné localement sur le firewall, sans MFA. L’authentification réussie est intervenue après environ 6 heures d’attaque, sans pause — comportement typique du credential stuffing. ...

🔍 Contexte Publié le 27 mai 2026 par Manuel Humberto Santander Peláez sur le SANS Internet Storm Center, cet article présente la reconstruction complète d’une kill chain Akira ransomware dans une organisation de taille moyenne, en utilisant exclusivement des syslogs SSLVPN de pare-feu et des exports EVTX Windows (Security, System, PowerShell/Operational). Aucun EDR, PCAP ou proxy log n’était disponible. 🎯 Environnement cible Forêt Active Directory mono-site derrière un NGFW périmétrique Accès distant via SSLVPN pour une petite équipe Logs firewall couvrant ~7 jours avant l’événement de chiffrement Exports EVTX de 2 contrôleurs de domaine et 3 serveurs membres 🔗 Déroulement de l’attaque Stage 1 – Accès initial : ...

🔍 Contexte Publié le 19 mai 2026 par ReliaQuest Threat Research (auteurs : Alexander Capraro et Tristan Luikey), ce rapport documente des intrusions observées entre février et mars 2026 impliquant l’exploitation de CVE-2024-12802, une vulnérabilité de contournement d’authentification dans les appliances SonicWall SSL VPN. 🎯 Vulnérabilité et mécanisme d’exploitation CVE-2024-12802 (CVSS vendeur : 6.5 / CISA : 9.1 Critique) affecte la manière dont le MFA est appliqué selon le format de login utilisé : ...

🔍 Contexte Le 19 mai 2026, Microsoft Threat Intelligence publie une analyse détaillée sur Fox Tempest, un acteur cybercriminel à motivation financière opérant un service de signature de malwares à la demande (Malware Signing-as-a-Service, MSaaS). En mai 2026, la Digital Crimes Unit (DCU) de Microsoft, avec le soutien de partenaires industriels, a procédé au démantèlement de l’infrastructure de ce service. 🎯 Rôle et impact de Fox Tempest Fox Tempest ne cible pas directement des victimes mais fournit une infrastructure de support à d’autres groupes cybercriminels. Microsoft suit cet acteur depuis septembre 2025. Les groupes ayant utilisé ses services incluent : ...

📈 250 revendications cette semaine (+76, +43.7% par rapport à S18) Période : 04.05.2026 au 10.05.2026 Analyse Ransomware — Semaine 19 (04 au 10 mai 2026) Introduction La semaine 19 enregistre 250 revendications d’attaques par rançongiciel, soit une hausse de 76 cas supplémentaires (+43,7 %) par rapport à la semaine précédente (174 revendications). Il s’agit d’une augmentation notable en volume absolu, portant le total hebdomadaire à un niveau significativement au-dessus de la semaine S18. ...

🌐 Contexte Publié le 28 avril 2026 par Europol (European Union Agency for Law Enforcement Cooperation), l’Internet Organised Crime Threat Assessment (IOCTA) 2026 constitue l’évaluation annuelle la plus complète des cybermenaces pesant sur l’Union européenne. Le rapport s’intitule « How encryption, proxies and AI are expanding cybercrime » et couvre les développements observés principalement en 2025. 🎯 Principaux vecteurs de menace identifiés Ransomware Plus de 120 familles de ransomware actives observées par Europol en 2025 Modèle RaaS (Ransomware-as-a-Service) dominant, avec fragmentation croissante des opérations Groupes notables : Qilin, Akira, LockBit (tentatives de rebond avec LockBit 5.0), DragonForce, BlackBasta, Cl0p, Play, Fog En septembre 2025, une coalition DragonForce + LockBit + Qilin annoncée sur le dark web Tactiques d’extorsion multi-couches : exfiltration de données, DDoS simultanés, cold-calling, pression psychologique Shift de l’extorsion : de la demande de déchiffrement vers la menace de publication des données Fraude en ligne (OFS) Fraude représentant la zone de croissance la plus rapide de la criminalité organisée Typologies principales : fraude à l’investissement (crypto), BEC, romance scam, tech support fraud, fraude aux paiements Usage massif de SIM boxes / SIM farms (ex : réseau letton de 7 individus, 1 200 dispositifs, 40 000 SIM cards, 49 millions de comptes créés) Montée des IMSI catchers et SMS blasters pour contourner les protocoles KYC Drainers de cryptomonnaies maturés en système CaaS (acquisition d’Inferno Drainer par Angel Drainer en octobre 2024) Attaques relay sur terminaux de paiement en hausse dans l’UE Adoption de l’IA générative pour personnaliser l’ingénierie sociale, scripts d’appel, chatbots de pré-sélection des victimes Infrastructure criminelle Dark web : fragmentation des marketplaces généralistes, émergence de plateformes spécialisées Démantèlement d’Archetyp Market (600 000 utilisateurs, EUR 250M de transactions, juin 2025) ; émergence de BlackOps, TorZon, Nexus Market DarkForums successeur de BreachForums Bullet-proof hosting (BPH) avec sous-location multi-juridictionnelle Proxies résidentiels pour masquer le trafic malveillant Abus DNS pour phishing, C2 de botnets, distribution de malwares Démantèlement de Cryptomixer (EUR 1,3 milliard en Bitcoin mixés depuis 2016, novembre 2025) Montée des privacy coins, chain-hopping, bridges blockchain, DEX, coinjoin pour le blanchiment Menaces hybrides et DDoS Acteurs étatiques utilisant des réseaux cybercriminels comme proxies pour des opérations de déstabilisation NoName057(16) : réseau pro-russe ciblant gouvernements et entreprises, démantelé partiellement lors de l’Opération Eastwood (juillet 2025, 19 pays impliqués) DDoS lors du Sommet OTAN de La Haye (juin 2025) Coalition Scattered LAPSUS$ Hunters (SLSH) : Scattered Spider + ShinyHunters + LAPSUS$ (annoncée août 2025) Exploitation sexuelle des enfants en ligne (CSAM) Kidflix démantelé (1,8M utilisateurs, 80 000 vidéos, 1 400 suspects identifiés, 39 enfants protégés) Hausse de 70% des signalements de sextorsion financière (NCMEC, H1 2025 vs H1 2024) CSAM généré par IA en forte progression (modèles text-to-image, text-to-video, image-to-image) Réseau The Com : communautés en ligne mêlant CSE, cyberattaques, extorsion, violence extrême Plateforme Help4U lancée par Europol en novembre 2025 pour soutenir les victimes mineures 🔧 Opérations de police majeures citées Opération Endgame : démantèlement de Smokeloader, Bumblebee, Lactrodectus, Qakbot, Hijackloader, DanaBot, Trickbot, Warmcookie, Rhadamantys, VenomRAT, Elysium botnet Phobos/8Base : arrestation de 4 ressortissants russes, avertissement de 400 entreprises Cryptomixer.io : saisie de EUR 25M en cryptomonnaies, 12 To de données Archetyp Market : arrestation de l’administrateur à Barcelone NoName057(16) : Opération Eastwood, 9 arrestations, +100 serveurs perturbés Réseau SIM box letton : 7 arrestations (octobre 2025) CSAM IA : 25 arrestations mondiales, 273 suspects identifiés 📋 Type d’article Il s’agit d’un rapport stratégique annuel publié par Europol, destiné aux décideurs stratégiques, politiques et opérationnels des autorités répressives de l’UE. Son but principal est de fournir une évaluation structurée et factuelle du paysage des cybermenaces pour orienter les priorités opérationnelles et politiques en matière de lutte contre la cybercriminalité. ...