Double-Extorsion

🔍 Contexte Publié le 21 avril 2026 par Anna Širokova sur le blog Rapid7, cet article présente une analyse technique approfondie du ransomware Kyber, découvert lors d’un engagement de réponse à incident en mars 2026. Deux variantes ont été récupérées dans le même environnement victime, offrant une opportunité rare d’analyse comparative. 🧩 Description des variantes Variante Linux/ESXi (ELF) Binaire 64-bit ELF, écrit en C++ (GCC 4.4.7), non packé, non obfusqué Cible explicitement les datastores VMware ESXi (/vmfs/volumes) Utilise les outils natifs ESXi : esxcli pour lister et terminer les VMs Chiffrement réel : ChaCha8 + RSA-4096 (wrapping de clé), malgré une note de rançon affirmant AES-256-CTR + X25519 + Kyber1024 Extension des fichiers chiffrés : .xhsyw Note de rançon : readme.txt Déface les interfaces SSH (/etc/motd) et web VMware (/usr/lib/vmware/hostd/docroot/index.html) Exécution en arrière-plan via fork() + setsid() pour survivre à la fermeture de session SSH Chiffrement partiel basé sur la taille des fichiers (10% par défaut pour les fichiers >4 MB) Variante Windows (PE) Binaire 64-bit PE, écrit en Rust (MSVC/VS2022), non packé, non obfusqué Chemin de build exposé : C:\Users\user\.cargo\registry\src\index.crates.io-6f17d22bba15001f Chiffrement réel : AES-256-CTR + Kyber1024 + X25519 (conforme aux affirmations de la note) Extension des fichiers chiffrés : .#~~~ Note de rançon : READ_ME_NOW.txt Pipeline d’entropie personnalisé (temps système, CSPRNG Windows, RDRAND, données de processus) Fonctionnalité Hyper-V expérimentale via PowerShell (Get-VM, Stop-VM -Force -TurnOff) 11 commandes anti-récupération si exécuté avec élévation de privilèges : Suppression des shadow copies (WMI, WMIC, vssadmin) Désactivation du Windows Recovery Environment (bcdedit) Suppression des sauvegardes système (wbadmin) Arrêt d’IIS, effacement des journaux d’événements (wevtutil), vidage de la corbeille Terminaison de services : msexchange, vss, backup, veeam, sql Enregistrement d’une icône personnalisée pour les fichiers .#~~~ via le registre Windows Mutex : boomplay[.]com/songs/182988982 🔗 Infrastructure partagée Les deux variantes partagent un identifiant de campagne commun (5176[REDACTED]) et une infrastructure Tor : ...

🔍 Contexte Source : Zscaler ThreatLabz, publiée le 16 avril 2026. Cette analyse technique détaille le fonctionnement du ransomware Payouts King, attribué à d’anciens initial access brokers (IAB) de BlackBasta, actif discrètement depuis environ un an. 🎯 Vecteur d’accès initial Les attaquants combinent plusieurs techniques : Spam bombing massif ciblant les victimes Phishing et vishing via Microsoft Teams, en usurpant l’identité d’un membre du support IT Instruction à la victime d’initier Quick Assist pour déployer le malware et établir un point d’ancrage réseau 🛠️ Techniques d’obfuscation et d’évasion Construction et déchiffrement de chaînes sur la pile (stack-based strings) Résolution des fonctions Windows API par hash (FNV1 avec seed unique par valeur + algorithme CRC personnalisé) Arguments de ligne de commande obfusqués via CRC checksum custom Paramètre -i obligatoire pour déclencher le chiffrement (anti-sandbox) Utilisation de syscalls directs (Zw*) pour contourner les hooks AV/EDR Renommage des fichiers via SetFileInformationByHandle (FileRenameInfo) pour éviter la détection sur MoveFile/MoveFileEx 🔐 Chiffrement des fichiers Combinaison RSA 4096 bits + AES-256 en mode CTR (bibliothèque OpenSSL liée statiquement) Support code pour ChaCha20 présent mais non utilisé dans les échantillons analysés Extension ajoutée aux fichiers chiffrés : .ZWIAAW Fichier de sauvegarde temporaire : extension .esVnyj Note de rançon : readme_locker.txt (déposée uniquement si -note est spécifié) Chiffrement partiel (13 blocs, 50%) pour les fichiers > 10 Mo (optimisation performance) ⚙️ Persistance et élévation de privilèges Tâches planifiées créées via schtasks.exe sous \Mozilla\UpdateTask et \Mozilla\ElevateTask Exécution en tant que SYSTEM Suppression de la tâche d’élévation après exécution pour effacer les traces forensiques 🧹 Anti-forensique Suppression des shadow copies : vssadmin.exe delete shadows /all /quiet Vidage de la corbeille via SHEmptyRecycleBinW Effacement des journaux d’événements Windows via EvtClearLog Terminaison de 131 processus AV/EDR identifiés par checksum 📡 Infrastructure Contact via TOX Site de fuite de données accessible via Tor Vol massif de données avant déploiement du ransomware (double extorsion) 📄 Type d’article Analyse technique approfondie publiée par ThreatLabz (Zscaler), visant à documenter les capacités techniques de Payouts King et à fournir des éléments d’attribution et de détection. ...

🔍 Contexte Source : KrebsOnSecurity, publié le 6 avril 2026. Le Bureau fédéral de police criminelle allemand (BKA / Bundeskriminalamt) a publié un avis officiel révélant l’identité du hacker opérant sous le pseudonyme UNKN (alias UNKNOWN), jusqu’alors non identifié publiquement. 👤 Individus identifiés Daniil Maksimovich Shchukin, 31 ans, ressortissant russe, originaire de Krasnodar (Russie), identifié comme chef des groupes GandCrab et REvil Anatoly Sergeevitsch Kravchuk, 43 ans, ressortissant russe, co-accusé Shchukin était également actif sous l’identité Ger0in sur des forums cybercriminels russes entre 2010 et 2011, opérant des botnets et vendant des « installs » 🎯 Faits reprochés Au moins 130 actes de sabotage informatique et d’extorsion contre des victimes en Allemagne entre 2019 et 2021 ~2 millions d’euros extorqués sur une vingtaine d’attaques Plus de 35 millions d’euros de dommages économiques totaux en Allemagne Un portefeuille numérique lié à Shchukin contenait plus de 317 000 dollars en cryptomonnaies selon un dossier du DOJ américain de février 2023 🦠 Groupes ransomware dirigés GandCrab Apparu en janvier 2018 sous forme de programme d’affiliation Cinq révisions majeures du code publiées Arrêt annoncé le 31 mai 2019 après avoir extorqué plus de 2 milliards de dollars à des victimes Pionnier de la double extorsion (paiement pour déchiffrement + paiement pour non-publication des données) REvil Apparu concomitamment à la fermeture de GandCrab Fronté par UNKNOWN, qui avait déposé 1 million de dollars en escrow sur un forum cybercriminel russe Ciblait principalement des organisations avec plus de 100 millions de dollars de revenus annuels Attaque majeure : hack de Kaseya le week-end du 4 juillet 2021, affectant plus de 1 500 entreprises, ONG et agences gouvernementales Le FBI avait infiltré les serveurs de REvil avant l’attaque Kaseya et a publié une clé de déchiffrement gratuite pour les victimes 🔗 Liens et attribution Le nom de Shchukin apparaît dans un dossier du DOJ américain de février 2023 lié à la saisie de comptes cryptomonnaies associés à REvil La firme Intel 471 a indexé des données de forums russes reliant Shchukin à l’identité Ger0in Une correspondance photographique a été établie via PimEyes entre les photos du BKA et une célébration d’anniversaire de 2023 à Krasnodar UNKNOWN avait accordé une interview à Dmitry Smilyanets (Recorded Future) 📌 Type d’article Article de presse spécialisée relatant une opération d’attribution et de doxing officiel par les autorités allemandes, visant à exposer publiquement l’identité d’un cybercriminel présumé résidant en Russie et hors de portée judiciaire immédiate. ...

🔍 Contexte Cette analyse technique est publiée par le Halcyon Ransomware Research Center le 2 avril 2026. Elle documente les tactiques, techniques et procédures (TTPs) du groupe Akira, actif depuis mars 2023 en tant qu’opération Ransomware-as-a-Service (RaaS) à motivation financière. 🎯 Profil du groupe Akira Actif depuis mars 2023, avec des liens de code et de transactions crypto vers le syndicat Conti défunt A accumulé environ 244 millions USD de rançons jusqu’en septembre 2025 Cibles : entreprises et infrastructures critiques en Amérique du Nord, Europe et Australie Modèle de double extorsion : exfiltration de données avant chiffrement, publication sur un site dark web en cas de non-paiement ⚡ Rapidité d’exécution Akira est capable de mener l’intégralité du cycle d’attaque — de l’accès initial au chiffrement — en moins d’une heure, et dans la majorité des cas en moins de quatre heures. Cette vitesse a permis de compromettre des centaines de victimes sur les 12 derniers mois. ...

🏛️ Contexte Le 30 mars 2026, la Generalstaatsanwaltschaft Karlsruhe (Parquet général de Karlsruhe) a publié un communiqué de presse annonçant une avancée majeure dans la lutte contre la cybercriminalité organisée. L’enquête a été menée conjointement par le Cyber-crime-Zentrum (CCZ) rattaché au Parquet général de Karlsruhe et le Landeskriminalamt Baden-Württemberg (LKA). 🎯 Suspects identifiés Deux individus ont été formellement identifiés et font l’objet de mandats d’arrêt : Le chef présumé des groupes ransomware GandCrab et REvil (aussi connu sous le nom Sodinokibi) Le programmeur présumé des malwares utilisés par ces groupes Les deux suspects sont notamment soupçonnés d’être coresponsables de l’attaque contre les Württembergische Staatstheater Stuttgart en 2019. Une recherche internationale (Öffentlichkeitsfahndung) a été lancée. ...

📰 Source : LeMagIT — publié le 28 mars 2026 Contexte L’article traite du processus de double extorsion, désormais une pratique standard dans l’écosystème ransomware. Il décrit les étapes successives suivies par les cybercriminels après une intrusion. Déroulement du processus 🔒 Les étapes identifiées sont les suivantes : Lancement de l’attaque et compromission de la victime Vol de données (exfiltration) Chiffrement des données sur les systèmes compromis Dépôt d’une note de rançon avec instructions de contact Publication d’une revendication sur un site vitrine (leak site) après un délai variable Menace de divulgation des données volées comme levier de pression supplémentaire Temporalité ⏱️ Le délai entre l’attaque et la revendication publique varie selon les groupes. La divulgation effective des données peut intervenir entre quelques semaines et quelques mois après la revendication, notamment sous l’effet de négociations menées par des négociateurs spécialisés cherchant à gagner du temps. ...

Source et contexte : Alerte conjointe publiée par l’Australian Cyber Security Centre (ACSC), le CERT Tonga et le National Cyber Security Centre (NCSC) de Nouvelle‑Zélande, décrivant l’activité du groupe de ransomware INC Ransom et de ses affiliés, leurs cibles en Australie, Nouvelle‑Zélande et États insulaires du Pacifique, et les mesures de mitigation recommandées. INC Ransom, aussi connu sous les noms Tarnished Scorpion et GOLD IONIC, opère en modèle Ransomware‑as‑a‑Service (RaaS) depuis mi‑2023. Les affiliés procèdent à de la double extorsion (vol de données + chiffrement, menace de divulgation via un Data Leak Site sur Tor). Après avoir visé les États‑Unis et le Royaume‑Uni, le groupe se concentre davantage depuis début 2025 sur l’Australie, la Nouvelle‑Zélande et les États insulaires du Pacifique, avec une tendance marquée vers les fournisseurs de santé 🏥. ...

Source: RFI — RFI rapporte qu’Air Côte d’Ivoire a subi une cyberattaque détectée dans la nuit du dimanche 8 février et révélée le vendredi 20 février, impliquant une extraction illégale de données sensibles et un possible chiffrement de fichiers. 🔐 Type d’attaque: ransomware avec double extorsion. 🗂️ Impact: extraction illégale de données sensibles; des fichiers copiés puis potentiellement chiffrés rendant leur accès impossible. 🧑‍✈️ Données concernées: contenu non précisé; l’article évoque qu’il pourrait s’agir d’informations de passagers, de données de salariés et de documents internes. ✈️ Opérations: programme de vols maintenu; pas de perturbation du trafic aérien signalée. 🕒 Chronologie: incident la nuit du 8 février; révélé le 20 février. Groupe et mode opératoire ...

Selon l’article, dans le contexte d’une intensification des opérations en 2024-2025, un nouveau groupe de ransomware nommé SafePay s’impose comme une menace mondiale majeure. 🔒 SafePay fonctionne à l’opposé des modèles RaaS dominants : le groupe est centralisé et fermé, gardant un contrôle strict sur l’infrastructure, les négociations et les profits. Cette approche OPSEC vise à réduire les risques de fuites de code et d’infiltration par les forces de l’ordre qui ont affecté des groupes comme LockBit et ALPHV. ...

Selon un communiqué du Department of Justice (Office of Public Affairs) publié le 19 décembre 2025, un ressortissant ukrainien, Artem Aleksandrovych Stryzhak, a plaidé coupable de conspiration pour fraude informatique pour son rôle dans des attaques au ransomware Nefilim visant des entreprises aux États‑Unis et à l’international. Les documents judiciaires indiquent que le groupe a déployé le ransomware Nefilim contre des réseaux d’entreprises, causant des dommages importants. Pour chaque victime, les auteurs généraient un exécutable de rançongiciel unique, une clé de déchiffrement correspondante et une note de rançon personnalisée. En cas de paiement, ils fournissaient la clé permettant de déchiffrer les fichiers. ...