Double Extorsion

Selon l’article, dans le contexte d’une intensification des opérations en 2024-2025, un nouveau groupe de ransomware nommé SafePay s’impose comme une menace mondiale majeure. 🔒 SafePay fonctionne à l’opposé des modèles RaaS dominants : le groupe est centralisé et fermé, gardant un contrôle strict sur l’infrastructure, les négociations et les profits. Cette approche OPSEC vise à réduire les risques de fuites de code et d’infiltration par les forces de l’ordre qui ont affecté des groupes comme LockBit et ALPHV. ...

Selon un communiqué du Department of Justice (Office of Public Affairs) publié le 19 décembre 2025, un ressortissant ukrainien, Artem Aleksandrovych Stryzhak, a plaidé coupable de conspiration pour fraude informatique pour son rôle dans des attaques au ransomware Nefilim visant des entreprises aux États‑Unis et à l’international. Les documents judiciaires indiquent que le groupe a déployé le ransomware Nefilim contre des réseaux d’entreprises, causant des dommages importants. Pour chaque victime, les auteurs généraient un exécutable de rançongiciel unique, une clé de déchiffrement correspondante et une note de rançon personnalisée. En cas de paiement, ils fournissaient la clé permettant de déchiffrer les fichiers. ...

Selon le blog Talos Intelligence (Cisco Talos), des intrusions observées en août 2025 attribuées au groupe ransomware Kraken montrent des campagnes de big‑game hunting avec double extorsion, une filiation probable avec HelloKitty et des outils et TTPs avancés visant Windows, Linux et VMware ESXi. – Qui est Kraken ? Ce groupe, apparu en février 2025, exploite la double extorsion et se montre opportuniste, sans verticales dédiées. Son site de fuite recense des victimes aux États‑Unis, Royaume‑Uni, Canada, Danemark, Panama et Koweït. Les fichiers chiffrés portent l’extension .zpsc et une note de rançon readme_you_ws_hacked.txt redirige les victimes vers une URL onion. Dans un cas, une demande d’environ 1 M$ en Bitcoin a été observée. Le groupe a annoncé un forum souterrain, The Last Haven Board, prétendant offrir un canal anonyme et sécurisé, avec un message de soutien de l’équipe HelloKitty et de WeaCorp, renforçant les liens supposés avec HelloKitty. ...

Selon Cisco Talos (blog Talos Intelligence), Qilin figure parmi les rançongiciels les plus actifs en 2025, avec plus de 40 victimes publiées par mois. L’analyse couvre ses secteurs ciblés, ses techniques d’intrusion et d’évasion, ainsi qu’une variante Qilin.B optimisée pour les environnements virtualisés. • Portée et cibles 🎯 Menace RaaS très prolifique en 2025 (40+ victimes/mois). Secteurs les plus touchés : manufacturing (23%), services professionnels (18%), commerce de gros (10%). Zones principalement affectées : États‑Unis, Canada, Royaume‑Uni, France, Allemagne. Modus operandi : double extorsion (chiffrement + exfiltration de données), avec déploiement de double encryptors pour maximiser l’impact sur réseaux et environnements virtualisés. • Chaîne d’intrusion et vol d’identifiants 🔐 ...

Selon les autorités fédérales suisses, une enquête pénale est conduite depuis avril de l’an dernier par la Bundesanwaltschaft (BA), sous la coordination de Fedpol, en étroite collaboration avec le Bundesamt für Cybersicherheit (BACS) et des autorités de plusieurs pays. Le groupe de pirates Akira, apparu en mars 2023, est au cœur de cette procédure. Il opère avec un logiciel spécialisé et développé sur mesure et s’appuie sur une infrastructure IT distribuée à l’international 🌐. ...

Selon CYFIRMA, un nouveau ransomware baptisé Yurei a été observé pour la première fois en septembre 2025, avec des victimes dans le secteur agroalimentaire au Sri Lanka. Le malware, écrit en Go, cible les systèmes Windows et opère une double extorsion via des canaux de négociation .onion sur Tor. L’analyse suggère des similarités structurelles avec le projet Prince-Ransomware et des artefacts de compilation liés à un environnement « SatanLockerV2 ». ...

Source: The Raven File — enquête publiée fin septembre 2025 après quatre mois d’analyse sur le groupe de ransomware Gunra. Le billet centralise l’historique, l’infrastructure (DLS, négociations), l’analyse d’échantillons Windows/Linux, les TTP MITRE et des IOC. • Victimologie et ciblage: Gunra opère une double extorsion, affiche ses victimes sur un Data Leak Site (DLS) et a ajouté 18 victimes entre avril et septembre 2025. Les pays les plus touchés incluent Corée du Sud, Brésil, Japon, Canada, E.A.U., Égypte, Panama, ainsi que Colombie, Nicaragua, Croatie, Italie. À date, aucune victime américaine; seul pays anglophone ciblé: Canada. Secteurs: manufacturing, santé, technologie, services, finance. L’auteur avance des hypothèses sur l’absence de cibles US. ...

Selon ASEC (AhnLab), le groupe « Underground » conduit des attaques ransomware continues à l’échelle mondiale, avec une reprise d’activité confirmée par l’ouverture d’un Dedicated Leak Site (DLS) en mai 2024. • Contexte et cibles. Identifié initialement en juillet 2023, Underground pratique la double extorsion (chiffrement + vol de données avec divulgation publique en cas de non‑paiement). Des victimes sont listées aux EAU, États‑Unis, France, Espagne, Australie, Allemagne, Slovaquie, Taïwan, Singapour, Canada et Corée du Sud, couvrant des secteurs variés (construction, design intérieur, manufacturing, IT), avec des revenus de 20 M$ à 650 M$. Le groupe ne discrimine pas par pays, secteur ou taille, et ses attaques augmentent globalement. ...

Selon canadianrecycler.ca (Toronto, Ontario), une attaque survenue le 6 août au soir a visé des entreprises utilisant le logiciel d’accès à distance SimpleHelp, touchant environ 300 recycleurs automobiles en Amérique du Nord, dont au moins quatre au Canada. • Type d’attaque: ransomware. Les victimes ont été verrouillées hors de leurs bases de données et ont reçu des notes de rançon exigeant un paiement pour restaurer l’accès. Parmi les entreprises nommées, Plazek Auto Recycling (près de Hamilton, Ontario) a découvert au matin des ordinateurs verrouillés et 30 copies identiques d’une note de rançon imprimées. L’entreprise n’a pas payé, s’appuyant sur des sauvegardes mises en place après un incident similaire en 2019, ce qui lui a permis de nettoyer le malware et de récupérer toutes ses données sauf quelques heures d’enregistrements. D’autres entreprises canadiennes citées incluent Millers Auto Recycling (Fort Erie, Ontario) et Marks Parts (Ottawa), qui ont également pu restaurer l’accès aux données. ...

Selon SuspectFile (SuspectFile.com), cette interview présente Securotrop, un groupe de ransomware apparu début 2025 qui opère comme affilié RaaS sur l’écosystème Qilin, avec une image séparée et une approche sélective centrée sur l’exploitation des données exfiltrées. • Positionnement et cible: Securotrop se veut distinct par une focalisation sur l’analyse des documents exfiltrés (états financiers, P&L, listes d’actifs, clients, documents opérationnels). Le groupe affirme éviter les secteurs santé et gouvernement pour viser des cibles commerciales et maintient un blog .onion indépendant listant actuellement 10 victimes au format texte. L’objectif est de bâtir une réputation de constance dans la tenue des promesses de publication/leak. 🔎 ...