Go

🔍 Contexte Le 18 juin 2026, ThreatDown publie une analyse approfondie d’une nouvelle famille de ransomware baptisée Prinz Eugen, découverte lors d’une investigation client le 11 mai 2026. La première mention publique de ce groupe remonte au 16 avril 2026, via un post sur les réseaux sociaux signalant l’apparition d’un portail de fuite visant Standard Bank Group, une institution financière majeure en Afrique du Sud. 🦠 Caractéristiques techniques du malware L’encrypteur présente plusieurs caractéristiques techniques notables : ...

🔍 Contexte Source : BleepingComputer, publié le 20 juin 2026. L’analyse technique est issue de Threatdown (branche entreprise de Malwarebytes). L’article décrit une nouvelle opération ransomware nommée Prinz Eugen, identifiée lors d’investigations sur des incidents réels. 🎯 Accès initial et persistance L’accès initial est vraisemblablement obtenu via des identifiants RDP volés Le payload principal, servertool.exe, est téléchargé et exécuté manuellement (style hands-on-keyboard) L’outil RMM légitime RemotePC est utilisé pour maintenir l’accès Un compte administrateur backdoor assure la persistance Les attaquants privilégient les outils légitimes (RMM, living-off-the-land) 🔐 Stratégie de chiffrement Malware développé en Go Priorise les fichiers les plus récemment modifiés ; en cas d’horodatage identique, traitement par ordre alphabétique Parcours récursif des répertoires sans limite de profondeur ni exclusion Extension utilisée pour les fichiers chiffrés : .prinzeugen Algorithme de chiffrement : ChaCha20-Poly1305 avec clé maître de 32 octets Dérivation de clé via Argon2id, SHA-256 et HKDF-SHA256 Vecteur d’initialisation aléatoire par fichier Traitement par blocs de 1 Mo, intégrité vérifiée via SHA-256 Avec le flag --delete : vérification de déchiffrabilité avant suppression du fichier original La clé de chiffrement est écrasée avec des zéros, le garbage collector est forcé, puis le binaire s’auto-supprime 🚫 Absence de note de rançon Aucune note de rançon déposée sur le système, aucun changement de fond d’écran Les communications de rançon se font hors-bande (email direct, contact téléphonique, portail dark web) Cette tactique réduit les artefacts forensiques et complique la détection automatisée de la phase d’extorsion 👥 Victimes et modèle opérationnel Pas de modèle RaaS, pas de recrutement d’affiliés identifié Au moins 5 victimes identifiées par Threatdown Le site de fuite liste actuellement 3 victimes Les attaques combinent chiffrement et/ou exfiltration de données Dans le cas de Standard Bank, une rançon de 1 BTC a été demandée et refusée 📄 Type d’article Analyse technique publiée par BleepingComputer sur la base d’un rapport Threatdown, visant à documenter les TTPs, la mécanique de chiffrement et les IoCs d’une nouvelle opération ransomware. ...

🔍 Contexte Publié le 28 mai 2026 par Microsoft Threat Intelligence sur le blog officiel Microsoft Security, cet article présente une analyse technique approfondie du ransomware The Gentlemen, opéré par le groupe Storm-2697. 🎭 Acteur de la menace Storm-2697 est un acteur à motivation financière qui gère la plateforme RaaS (Ransomware-as-a-Service) « The Gentlemen » Le groupe a émergé mi-2025 en tant que groupe fermé, avant d’ouvrir son programme d’affiliation en septembre 2025 Un partenariat officiel avec BreachForums a été établi pour recruter des affiliés, notamment des testeurs d’intrusion et des initial access brokers (IAB) ⚙️ Caractéristiques techniques Ransomware écrit en Go, obfusqué avec Garble Cible l’environnement Windows Techniques documentées : exécution, évasion de défense, chiffrement des fichiers, mouvement latéral et auto-propagation réseau Tactique de double extorsion : chiffrement des données ET exfiltration pour pression supplémentaire 🌍 Secteurs et zones géographiques ciblés Secteurs : éducation, transport, santé, finance Zones : Amérique du Nord, Amérique du Sud, Europe, Afrique, Asie 📄 Nature de l’article Il s’agit d’une analyse technique publiée par Microsoft, destinée aux défenseurs, aux équipes de réponse à incident et à la communauté de sécurité. L’article inclut le flux d’exécution, les comportements d’évasion, la conception du chiffrement, les techniques de mouvement latéral, des détections Microsoft Defender, des requêtes de chasse et des indicateurs de compromission (IOCs). ...

🔍 Contexte L’équipe de recherche de Socket a publié le 19 mai 2026 une analyse technique détaillée d’une attaque de chaîne d’approvisionnement ciblant l’écosystème Go. Le module malveillant github.com/shopsprint/decimal imite la bibliothèque légitime github.com/shopspring/decimal (38 634 importateurs connus), en ne différant que d’un seul caractère dans le nom du vendeur (shopsprint vs shopspring). 🗓️ Chronologie de l’attaque Le module typosquat a été publié pour la première fois le 2017-11-08, avec sept versions non malveillantes servant de miroir fidèle de la bibliothèque légitime. Le 2023-08-19, deux versions ont été publiées à sept minutes d’intervalle : ...

🔍 Contexte Publié le 27 avril 2026 par Kirk sur derp.ca, cet article présente une analyse technique détaillée de M3rx, un nouveau groupe ransomware apparu publiquement fin avril 2026. RansomLook recense six posts associés à ce groupe au 27 avril 2026, dont cinq publiés le 26 avril. PurpleOps référence la même activité sous le label M3RXDLS. 🎯 Victimes revendiquées Le groupe revendique des victimes dans plusieurs pays : rotak.it (IT) — 23 avril 2026 rainforestclean.com — 259 Go, 77k fichiers airdriephysio.com — 54 Go, 116k fichiers primeproperties.com.au — 100 Go, 81k fichiers anvilarts.org.uk — 480 Go, 299k fichiers dmschweiz.ch — 120 Go, 100k fichiers Zones géographiques concernées : États-Unis, Canada, Australie, Royaume-Uni, Suisse, Italie. ...

Selon un article publié par Bleepingcomputer, une attaque de la chaîne d’approvisionnement a été détectée ciblant des serveurs Linux avec un malware destructeur caché dans des modules Golang publiés sur GitHub. L’attaque, découverte le mois dernier, repose sur trois modules Go malveillants contenant du code fortement obfusqué pour récupérer et exécuter des charges utiles à distance. Le payload destructeur, un script Bash nommé done.sh, exécute une commande ‘dd’ pour effacer les données du disque. ...