Prinz Eugen : nouveau ransomware Go ciblant les fichiers récents sans note de rançon

🔍 Contexte Source : BleepingComputer, publiĂ© le 20 juin 2026. L’analyse technique est issue de Threatdown (branche entreprise de Malwarebytes). L’article dĂ©crit une nouvelle opĂ©ration ransomware nommĂ©e Prinz Eugen, identifiĂ©e lors d’investigations sur des incidents rĂ©els. 🎯 AccĂšs initial et persistance L’accĂšs initial est vraisemblablement obtenu via des identifiants RDP volĂ©s Le payload principal, servertool.exe, est tĂ©lĂ©chargĂ© et exĂ©cutĂ© manuellement (style hands-on-keyboard) L’outil RMM lĂ©gitime RemotePC est utilisĂ© pour maintenir l’accĂšs Un compte administrateur backdoor assure la persistance Les attaquants privilĂ©gient les outils lĂ©gitimes (RMM, living-off-the-land) 🔐 StratĂ©gie de chiffrement Malware dĂ©veloppĂ© en Go Priorise les fichiers les plus rĂ©cemment modifiĂ©s ; en cas d’horodatage identique, traitement par ordre alphabĂ©tique Parcours rĂ©cursif des rĂ©pertoires sans limite de profondeur ni exclusion Extension utilisĂ©e pour les fichiers chiffrĂ©s : .prinzeugen Algorithme de chiffrement : ChaCha20-Poly1305 avec clĂ© maĂźtre de 32 octets DĂ©rivation de clĂ© via Argon2id, SHA-256 et HKDF-SHA256 Vecteur d’initialisation alĂ©atoire par fichier Traitement par blocs de 1 Mo, intĂ©gritĂ© vĂ©rifiĂ©e via SHA-256 Avec le flag --delete : vĂ©rification de dĂ©chiffrabilitĂ© avant suppression du fichier original La clĂ© de chiffrement est Ă©crasĂ©e avec des zĂ©ros, le garbage collector est forcĂ©, puis le binaire s’auto-supprime đŸš« Absence de note de rançon Aucune note de rançon dĂ©posĂ©e sur le systĂšme, aucun changement de fond d’écran Les communications de rançon se font hors-bande (email direct, contact tĂ©lĂ©phonique, portail dark web) Cette tactique rĂ©duit les artefacts forensiques et complique la dĂ©tection automatisĂ©e de la phase d’extorsion đŸ‘„ Victimes et modĂšle opĂ©rationnel Pas de modĂšle RaaS, pas de recrutement d’affiliĂ©s identifiĂ© Au moins 5 victimes identifiĂ©es par Threatdown Le site de fuite liste actuellement 3 victimes Les attaques combinent chiffrement et/ou exfiltration de donnĂ©es Dans le cas de Standard Bank, une rançon de 1 BTC a Ă©tĂ© demandĂ©e et refusĂ©e 📄 Type d’article Analyse technique publiĂ©e par BleepingComputer sur la base d’un rapport Threatdown, visant Ă  documenter les TTPs, la mĂ©canique de chiffrement et les IoCs d’une nouvelle opĂ©ration ransomware. ...

22 juin 2026 Â· 3 min

Analyse technique du ransomware Payload : chiffrement ChaCha20/Curve25519 et anti-forensics avancés

🔍 Contexte Source : DarkAtlas (https://darkatlas.io/blog/behind-payload-in-depth-technical-analysis-of-payload-ransomware), publiĂ©e le 25 mai 2026. Il s’agit d’une analyse technique approfondie du ransomware Payload, un groupe apparu publiquement en fĂ©vrier 2026 avec une empreinte mondiale de victimes. 🌍 Victimologie Au 24 mars 2026, le groupe avait revendiquĂ© 50 victimes sur son site de fuite. Les pays impactĂ©s incluent : Égypte Mexique Pologne Autres rĂ©gions non prĂ©cisĂ©es ⚙ MĂ©canisme de chiffrement Le ransomware utilise une combinaison cryptographique robuste : ...

28 mai 2026 Â· 2 min

VECT 2.0 : un ransomware RaaS qui détruit irrémédiablement les fichiers par défaut de conception

🔍 Contexte PubliĂ© le 28 avril 2026 par Check Point Research (CPR), cet article prĂ©sente une analyse technique approfondie du ransomware VECT 2.0, un service Ransomware-as-a-Service (RaaS) apparu pour la premiĂšre fois en dĂ©cembre 2025 sur un forum cybercriminel russophone. CPR a obtenu un accĂšs au panneau d’affiliation et au builder via un compte BreachForums. đŸ§© PrĂ©sentation de VECT VECT est un ransomware Ă©crit en C++, ciblant trois plateformes : Windows, Linux et VMware ESXi. La version 2.0 a Ă©tĂ© publiĂ©e en fĂ©vrier 2026. Le groupe a annoncĂ© des partenariats avec : ...

29 avril 2026 Â· 4 min

Direct-Sys Loader et CGrabber Stealer : chaßne malveillante en 5 étapes avec évasion avancée

🔍 Contexte PubliĂ© le 15 avril 2026 par la Howler Cell Research Team de Cyderes, ce rapport prĂ©sente l’analyse technique complĂšte d’une chaĂźne d’infection en 5 Ă©tapes impliquant deux nouvelles familles de malwares : Direct-Sys Loader et CGrabber Stealer. 📩 Vecteur d’infection La campagne dĂ©bute par la distribution d’archives ZIP hĂ©bergĂ©es sur l’infrastructure GitHub user-attachments. L’archive analysĂ©e (Eclipsyn.zip, SHA-256 : f464a4155526fa22c45a82d3aa75a13970189aad8cc3fa6050cf803a54d8baed) contient un binaire lĂ©gitime signĂ© Microsoft, Launcher_x64.exe, abusĂ© pour du DLL sideloading via une DLL malveillante nommĂ©e msys-crypto-3.dll. ...

16 avril 2026 Â· 7 min

CrystalX RAT : un nouveau cheval de Troie MaaS combinant espionnage, vol de crypto et fonctions de canular

🔍 Contexte PubliĂ© le 1 avril 2026 par l’équipe GReAT de Kaspersky, cet article prĂ©sente l’analyse d’un nouveau cheval de Troie d’accĂšs Ă  distance (RAT) nommĂ© CrystalX, dĂ©couvert en mars 2026 sur des canaux Telegram privĂ©s. Le malware est distribuĂ© selon un modĂšle malware-as-a-service (MaaS) avec trois niveaux d’abonnement. 🧬 Origine et Ă©volution PremiĂšre mention en janvier 2026 dans un chat Telegram privĂ© pour dĂ©veloppeurs de RAT, sous le nom WebCrystal RAT IdentifiĂ© comme un clone de WebRat, un RAT prĂ©existant RebaptisĂ© CrystalX RAT peu aprĂšs, avec crĂ©ation d’un canal Telegram dĂ©diĂ© pour sa commercialisation Des vidĂ©os tutorielles publiĂ©es sur YouTube sous couvert de « fins Ă©ducatives » facilitent son utilisation 💣 CapacitĂ©s malveillantes Vol de donnĂ©es et surveillance : ...

2 avril 2026 Â· 3 min

Analyse technique complÚte du ransomware Payload : dérivé de Babuk, Curve25519+ChaCha20, 12 victimes

Analyse statique complĂšte du ransomware Payload, dĂ©rivĂ© du code source Babuk 2021, utilisant Curve25519+ChaCha20, ciblant Windows et ESXi avec 12 victimes et 2 603 Go exfiltrĂ©s. 🔍 Contexte PubliĂ© le 21 mars 2026 par Kirk sur derp.ca, cet article prĂ©sente une analyse statique complĂšte du ransomware Payload, actif depuis au moins le 17 fĂ©vrier 2026. Le groupe revendique 12 victimes dans 7 pays, avec 2 603 Go de donnĂ©es exfiltrĂ©es, dont une attaque contre le Royal Bahrain Hospital (110 Go, deadline 23 mars 2026). ...

21 mars 2026 Â· 3 min

Charon : un nouveau ransomware sophistiquĂ© vise le secteur public et l’aviation au Moyen-Orient

Selon Trend Micro, des chercheurs ont identifiĂ© « Charon », une nouvelle famille de ransomware ciblant des organisations du secteur public et de l’aviation au Moyen-Orient. Le rapport met en avant des techniques avancĂ©es proches des campagnes Earth Baxia et dĂ©taille ses mĂ©canismes d’exĂ©cution et d’évasion. Le ransomware recourt Ă  des techniques de type APT, dont le DLL sideloading via le binaire lĂ©gitime Edge.exe pour charger une DLL malveillante msedge.dll (SWORDLDR). Cette charge utile dĂ©crypte et injecte du shellcode chiffrĂ© dans des processus svchost.exe, amorçant la phase d’exĂ©cution. Il intĂšgre des capacitĂ©s anti-EDR et dĂ©montre une propagation rĂ©seau vers des partages accessibles, tout en Ă©vitant les partages ADMIN$. ...

12 aoĂ»t 2025 Â· 2 min
Derniùre mise à jour le: 14 juillet 2026 📝