Double Extorsion

Selon Cisco Talos (blog Talos Intelligence), Qilin figure parmi les rançongiciels les plus actifs en 2025, avec plus de 40 victimes publiées par mois. L’analyse couvre ses secteurs ciblés, ses techniques d’intrusion et d’évasion, ainsi qu’une variante Qilin.B optimisée pour les environnements virtualisés. • Portée et cibles 🎯 Menace RaaS très prolifique en 2025 (40+ victimes/mois). Secteurs les plus touchés : manufacturing (23%), services professionnels (18%), commerce de gros (10%). Zones principalement affectées : États‑Unis, Canada, Royaume‑Uni, France, Allemagne. Modus operandi : double extorsion (chiffrement + exfiltration de données), avec déploiement de double encryptors pour maximiser l’impact sur réseaux et environnements virtualisés. • Chaîne d’intrusion et vol d’identifiants 🔐 ...

Selon les autorités fédérales suisses, une enquête pénale est conduite depuis avril de l’an dernier par la Bundesanwaltschaft (BA), sous la coordination de Fedpol, en étroite collaboration avec le Bundesamt für Cybersicherheit (BACS) et des autorités de plusieurs pays. Le groupe de pirates Akira, apparu en mars 2023, est au cœur de cette procédure. Il opère avec un logiciel spécialisé et développé sur mesure et s’appuie sur une infrastructure IT distribuée à l’international 🌐. ...

Selon CYFIRMA, un nouveau ransomware baptisé Yurei a été observé pour la première fois en septembre 2025, avec des victimes dans le secteur agroalimentaire au Sri Lanka. Le malware, écrit en Go, cible les systèmes Windows et opère une double extorsion via des canaux de négociation .onion sur Tor. L’analyse suggère des similarités structurelles avec le projet Prince-Ransomware et des artefacts de compilation liés à un environnement « SatanLockerV2 ». ...

Source: The Raven File — enquête publiée fin septembre 2025 après quatre mois d’analyse sur le groupe de ransomware Gunra. Le billet centralise l’historique, l’infrastructure (DLS, négociations), l’analyse d’échantillons Windows/Linux, les TTP MITRE et des IOC. • Victimologie et ciblage: Gunra opère une double extorsion, affiche ses victimes sur un Data Leak Site (DLS) et a ajouté 18 victimes entre avril et septembre 2025. Les pays les plus touchés incluent Corée du Sud, Brésil, Japon, Canada, E.A.U., Égypte, Panama, ainsi que Colombie, Nicaragua, Croatie, Italie. À date, aucune victime américaine; seul pays anglophone ciblé: Canada. Secteurs: manufacturing, santé, technologie, services, finance. L’auteur avance des hypothèses sur l’absence de cibles US. ...

Selon ASEC (AhnLab), le groupe « Underground » conduit des attaques ransomware continues à l’échelle mondiale, avec une reprise d’activité confirmée par l’ouverture d’un Dedicated Leak Site (DLS) en mai 2024. • Contexte et cibles. Identifié initialement en juillet 2023, Underground pratique la double extorsion (chiffrement + vol de données avec divulgation publique en cas de non‑paiement). Des victimes sont listées aux EAU, États‑Unis, France, Espagne, Australie, Allemagne, Slovaquie, Taïwan, Singapour, Canada et Corée du Sud, couvrant des secteurs variés (construction, design intérieur, manufacturing, IT), avec des revenus de 20 M$ à 650 M$. Le groupe ne discrimine pas par pays, secteur ou taille, et ses attaques augmentent globalement. ...

Selon canadianrecycler.ca (Toronto, Ontario), une attaque survenue le 6 août au soir a visé des entreprises utilisant le logiciel d’accès à distance SimpleHelp, touchant environ 300 recycleurs automobiles en Amérique du Nord, dont au moins quatre au Canada. • Type d’attaque: ransomware. Les victimes ont été verrouillées hors de leurs bases de données et ont reçu des notes de rançon exigeant un paiement pour restaurer l’accès. Parmi les entreprises nommées, Plazek Auto Recycling (près de Hamilton, Ontario) a découvert au matin des ordinateurs verrouillés et 30 copies identiques d’une note de rançon imprimées. L’entreprise n’a pas payé, s’appuyant sur des sauvegardes mises en place après un incident similaire en 2019, ce qui lui a permis de nettoyer le malware et de récupérer toutes ses données sauf quelques heures d’enregistrements. D’autres entreprises canadiennes citées incluent Millers Auto Recycling (Fort Erie, Ontario) et Marks Parts (Ottawa), qui ont également pu restaurer l’accès aux données. ...

Selon SuspectFile (SuspectFile.com), cette interview présente Securotrop, un groupe de ransomware apparu début 2025 qui opère comme affilié RaaS sur l’écosystème Qilin, avec une image séparée et une approche sélective centrée sur l’exploitation des données exfiltrées. • Positionnement et cible: Securotrop se veut distinct par une focalisation sur l’analyse des documents exfiltrés (états financiers, P&L, listes d’actifs, clients, documents opérationnels). Le groupe affirme éviter les secteurs santé et gouvernement pour viser des cibles commerciales et maintient un blog .onion indépendant listant actuellement 10 victimes au format texte. L’objectif est de bâtir une réputation de constance dans la tenue des promesses de publication/leak. 🔎 ...

Selon TRM Labs, Embargo est un acteur ransomware sophistiqué apparu en avril 2024 qui aurait récolté environ 34,2 M$ en paiements. Le groupe cible principalement les organisations de santé aux États-Unis, ainsi que les services aux entreprises et la manufacture, et pratique la double extorsion. Sur le plan technique, Embargo opère en RaaS (ransomware-as-a-service) avec un malware en Rust doté de capacités avancées d’évasion. Les vecteurs d’accès initiaux incluent l’exploitation de vulnérabilités non corrigées et des attaques de social engineering. Le groupe utilise un outil en deux parties pour désactiver les solutions de sécurité avant l’encryption des fichiers. ...

L’article analyse le ransomware Secp0, apparu début 2025, qui a initialement été mal compris comme un groupe d’extorsion de divulgation de vulnérabilités, mais qui fonctionne en réalité comme un ransomware traditionnel à double extorsion, chiffrant les données tout en menaçant de les divulguer publiquement. Secp0 a été identifié pour la première fois en février 2025 et a revendiqué sa première victime en mars 2025, une entreprise IT américaine, en compromettant des données et en chiffrant des serveurs. En mai 2025, Secp0 a retardé ses publications, citant une file d’attente de sociétés et testant une solution logicielle, probablement la plateforme d’extorsion World Leaks. ...

Cet article, publié par Bleepingcomputer, rapporte une attaque de ransomware menée par le groupe DragonForce. Les attaquants ont ciblé un fournisseur de services gérés (MSP) en utilisant la plateforme SimpleHelp pour accéder aux systèmes des clients et y déployer des encryptors. Les chercheurs de Sophos, appelés pour enquêter, ont découvert que les attaquants ont exploité une chaîne de vulnérabilités de SimpleHelp, identifiées comme CVE-2024-57727, CVE-2024-57728, et CVE-2024-57726. Ces failles ont permis aux cybercriminels de réaliser des actions de reconnaissance sur les systèmes des clients, collectant des informations sensibles telles que les noms de dispositifs, les configurations, les utilisateurs et les connexions réseau. ...