https://cyberveille.ch/tags/destruction-ware/ Recent content in Destruction-Ware on CyberVeille Hugo -- 0.146.0 fr-fr Sat, 11 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-11-ransomware-pay2key-cible-la-sante-us-sicarii-detruit-les-donnees-faute-de-cle-valide/ Sat, 11 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-11-ransomware-pay2key-cible-la-sante-us-sicarii-detruit-les-donnees-faute-de-cle-valide/ <h2 id="-contexte">🗞️ Contexte</h2> <p>Article publié le 8 avril 2026 par <em>The Register</em>, basé sur une interview de <strong>Cynthia Kaiser</strong>, ancienne directrice adjointe de la division cyber du FBI (départ en juin 2025) et désormais SVP au <strong>Halcyon Ransomware Research Center</strong>, lors de la RSA Conference.</p> <h2 id="-menace-1--pay2key--groupe-lié-à-liran-secteur-santé-américain">🎯 Menace 1 : Pay2Key — groupe lié à l&rsquo;Iran, secteur santé américain</h2> <ul> <li>Attaque survenue <strong>fin février 2026</strong>, coïncidant avec les frappes militaires américano-israéliennes contre l&rsquo;Iran</li> <li>Cible : <strong>organisation de santé américaine</strong></li> <li>Accès initial via un <strong>compte administrateur compromis</strong>, présent sur le réseau plusieurs jours avant l&rsquo;attaque</li> <li><strong>Chiffrement de l&rsquo;environnement en 3 heures</strong> après activation</li> <li><strong>Aucune exfiltration de données</strong> détectée — inhabituel pour ce groupe, suggérant une visée <strong>destructrice plutôt que financière</strong></li> <li>Le variant utilisé montre une <strong>mise à niveau significative</strong> par rapport aux intrusions de juillet 2025 : meilleures capacités anti-détection</li> <li>Parallèle établi avec les <strong>attaques contre l&rsquo;Albanie en 2022</strong> : Iran présent 14 mois sur les réseaux albanais avant de transférer l&rsquo;accès à un groupe d&rsquo;attaque</li> </ul> <h2 id="-menace-2--sicarii--ransomware-amateur-au-comportement-destructeur">💣 Menace 2 : Sicarii — ransomware amateur au comportement destructeur</h2> <ul> <li>Groupe apparu en <strong>décembre 2025</strong></li> <li>Défaut critique de conception : l&rsquo;encrypteur <strong>génère une nouvelle paire de clés cryptographiques à chaque exécution mais supprime la clé privée</strong>, rendant le déchiffrement impossible</li> <li>Résultat : le ransomware se comporte comme un <strong>wiper / destruction-ware</strong></li> <li>Kaiser attribue ce défaut à l&rsquo;utilisation d&rsquo;<strong>IA pour générer le code</strong>, assemblé de façon incohérente (« ugly-chaining »)</li> </ul> <h2 id="-menace-3--akira--vitesse-dexécution-extrême">⚡ Menace 3 : Akira — vitesse d&rsquo;exécution extrême</h2> <ul> <li>Dans la majorité de ses <strong>centaines de compromissions sur 12 mois</strong> : <strong>moins de 4 heures</strong> entre accès initial et chiffrement complet</li> <li>Certaines attaques : <strong>moins d&rsquo;une heure</strong></li> <li>Outil de déchiffrement doté d&rsquo;un système de <strong>checkpoint</strong> pour garantir la récupération des gros fichiers même en cas d&rsquo;interruption</li> </ul> <h2 id="-tendances-générales">📊 Tendances générales</h2> <ul> <li>Coût combiné ransomware + extorsion pour les entreprises et consommateurs américains : <strong>~155 millions de dollars</strong> en 2025</li> <li>Les <strong>wannabes utilisant l&rsquo;IA</strong> représentent une menace croissante par le <strong>volume d&rsquo;attaques</strong>, même si leur sophistication reste faible</li> <li>L&rsquo;IA permet à des acteurs peu qualifiés de passer de 0 % à 5-10 % d&rsquo;efficacité, augmentant la pression sur les équipes défensives</li> <li>Le <strong>dwell time</strong> (temps de présence avant détection) a drastiquement diminué chez les groupes sophistiqués</li> </ul> <h2 id="-nature-de-larticle">📌 Nature de l&rsquo;article</h2> <p>Article de presse spécialisée sous forme d&rsquo;interview, visant à présenter l&rsquo;analyse de menace ransomware d&rsquo;une experte issue du renseignement fédéral américain, avec des cas concrets investigués par Halcyon.</p>