Qilin

🌐 Contexte Source : Check Point Research, publié le 16 avril 2026. Ce rapport mensuel dresse un bilan statistique du paysage des cybermenaces en mars 2026, couvrant les volumes d’attaques globaux, les tendances ransomware, les risques liés à l’IA générative, ainsi que les disparités sectorielles et régionales. 📊 Volumes d’attaques globaux En mars 2026, la moyenne hebdomadaire d’attaques par organisation s’établit à 1 995, soit une baisse de 4 % par rapport à février et de 5 % par rapport à mars 2025. Malgré cette modération, les niveaux restent historiquement élevés, portés par l’automatisation, l’expansion des surfaces d’attaque et l’adoption du cloud et de la GenAI. ...

📉 181 revendications cette semaine (-85, -32.0% par rapport à S14) Période : 06.04.2026 au 12.04.2026 Analyse Ransomware — Semaine 15 (06 au 12 avril 2026) Introduction La semaine 15 enregistre 181 revendications d’attaques par rançongiciel, soit une baisse de 85 revendications par rapport à la semaine précédente (S14 : 266), ce qui représente un recul de 32 %. Cette diminution est notable en volume absolu, bien qu’elle s’inscrive dans un contexte où les fluctuations hebdomadaires restent fréquentes sur ce type de données issues de sites de publication de données volées. ...

📋 Contexte : Le CERT-EU, service de cybersécurité des institutions, organes et agences de l’Union européenne, publie le 8 avril 2026 son rapport annuel sur le paysage des menaces cyber pour l’année 2025 (TLP:CLEAR). Ce rapport s’appuie sur l’analyse des activités malveillantes d’intérêt (MAI) collectées tout au long de 2025, avec une expansion significative de l’usage de l’automatisation et de l’IA dans les processus de surveillance. 🎯 Acteurs et origines : En 2025, 174 acteurs malveillants distincts ont été identifiés (contre 110 en 2024). Les activités liées à la Chine représentent 37% des MAI attribuées, suivies par la Russie (32%), la Corée du Nord (11%) et l’Iran (7%). Les acteurs liés à la Chine ont principalement exploité des vulnérabilités et des compromissions de chaîne d’approvisionnement. Les acteurs liés à la Russie ont ciblé prioritairement les entités soutenant l’Ukraine. ...

🗓️ Contexte Publié le 6 avril 2026 par The Hacker News, cet article s’appuie sur des recherches de Cisco Talos et Trend Micro portant sur les opérations ransomware Qilin et Warlock. 🎯 Technique utilisée : BYOVD Les deux groupes ont été observés en train d’utiliser la technique Bring Your Own Vulnerable Driver (BYOVD), qui consiste à déployer un pilote légitime mais vulnérable afin de contourner ou neutraliser les outils de sécurité actifs sur les hôtes compromis. ...

🔍 Contexte Publié le 2 avril 2026 par Takahiro Takeda sur le blog Cisco Talos Intelligence, cet article constitue une analyse technique approfondie du composant msimg32.dll malveillant déployé dans les attaques du ransomware Qilin. Il documente des détails techniques inédits de la chaîne d’infection, notamment les techniques SEH/VEH et la manipulation d’objets noyau. 🎯 Mécanisme d’infection Le fichier msimg32.dll est vraisemblablement chargé par DLL side-loading via une application légitime. Son exécution démarre dès le chargement via la fonction DllMain. La chaîne d’infection se déroule en 4 étapes : ...

📋 Contexte Publié en avril 2026 par InterCERT France (communauté de plus de 130 CERT français), ce rapport d’incidentologie analyse 366 incidents de sécurité documentés en 2025 par 66 membres (40 CERT internes, 21 CERT externes, 5 CERT institutionnels), en hausse de 154 incidents par rapport à 2024. L’étude a été conduite avec l’appui de Wavestone via l’outil « Le Sphinx ». 🎯 Ciblage et motivations Les attaques opportunistes restent largement majoritaires (83% des cas déterminés) Les attaques ciblées ne représentent que 17% de l’échantillon La motivation financière domine (72% des attaques) Les grandes entreprises sont presque deux fois plus ciblées par des attaques d’espionnage, d’influence et de déstabilisation Les 3 secteurs les plus touchés : santé/action sociale (+515% vs 2024), industrie manufacturière (+34%), administration publique (+45%) 🦠 Outils et techniques Près d’une attaque outillée sur trois utilise un rançongiciel Les infostealers constituent le deuxième type d’outil le plus utilisé, en forte hausse en 2025 (campagnes ClickFix et EpiBrowser) La technique la plus observée : exploitation de comptes légitimes (Valid Accounts), centrale dans les kill-chains 2025 Les backdoors et RATs sont utilisés pour établir une persistance avant déploiement de ransomware 34% des systèmes ciblés sont des environnements Microsoft 💥 Rançongiciels — focus 266 attaques recensées par l’OFAC en 2025, en baisse de 37% vs 2024 et 89% vs 2023 Familles les plus actives : Qilin, LockBit, Akira (toutes des franchises RaaS) Qilin revendique une attaque contre l’académie d’Amiens (10 octobre 2025), touchant 80% des lycées publics des Hauts-de-France et vol de plus d'1 To de données ; l’ANSSI recense plus de 700 revendications Qilin en 2025 Le secteur santé est le plus touché, avec une multiplication par deux des incidents vs 2024 85% des attaques par rançongiciel nécessitent une reconstruction partielle ou totale du SI Les PME sont les plus touchées proportionnellement Double levier de négociation : chiffrement du SI + chantage à la fuite de données 🕵️ Infostealers — focus Hausse importante des incidents impliquant des infostealers en 2025 Utilisés dans 13% des cas en amont de l’exécution d’un rançongiciel Dans 1 cas sur 3, combinés avec des backdoors ou RATs Impacts principaux : fuite/vol de données (36%), arrêts d’activité (18%), campagnes de phishing ultérieures (13%) Actifs les plus touchés : comptes utilisateurs, comptes de messagerie, postes utilisateurs 🌐 Attaques non-lucratives — focus Échantillon de 44 incidents à motivation non-lucrative Majorité liée à l’espionnage et au pré-positionnement Les attaques de déstabilisation passent principalement par des DDoS (notamment contre les administrations publiques) Les infostealers sont majoritairement utilisés à des fins de pré-positionnement Les grandes entreprises sont les plus touchées par tous types d’attaques non-lucratives 📊 Type d’article Il s’agit d’un rapport statistique d’incidentologie à visée opérationnelle et décisionnelle, produit par une communauté nationale de CERT. Son but principal est de présenter les tendances de la menace cyber en France en 2025 à partir de données terrain déclaratives, et de fournir des éléments comparatifs avec l’année 2024. ...

📉 204 revendications cette semaine (-22, -9.7% par rapport à S12) Période : 23.03.2026 au 29.03.2026 Analyse Ransomware — Semaine 13 2026 (23 – 29 mars 2026) Source des données : eCrime.ch — Mise à jour hebdomadaire CyberVeille Vue d’ensemble Pour la semaine S13 2026, la plateforme eCrime.ch recense 204 revendications d’attaques par rançongiciel, soit une baisse de 22 revendications (-9,7 %) par rapport à la semaine précédente (226 revendications). Cette diminution concerne à la fois le volume global, les victimes européennes et les victimes suisses, sans que cela ne constitue une rupture de tendance significative à ce stade. ...

📋 Contexte : Rapport semestriel publié le 30 mars 2026 par l’Office fédéral de la cybersécurité (OFCS) suisse, couvrant la période juillet–décembre 2025. Premier rapport intégrant à la fois les déclarations volontaires et les 145 déclarations obligatoires issues de la nouvelle loi en vigueur depuis le 1er avril 2025 pour les infrastructures critiques. 📊 Statistiques clés : 29 006 déclarations volontaires reçues au S2 2025 52 % des annonces concernent la fraude 57 incidents ransomware signalés directement (79 au total toutes sources confondues) 73 cas de Business Email Compromise (BEC) au S2 2025 Secteurs les plus touchés par les déclarations obligatoires : secteur public (25 %), IT/télécoms (18 %), finance/assurances (15,7 %) 🦠 Ransomware – menace dominante : ...

🗓️ Contexte Source officielle : communiqué de presse publié le 27 mars 2026 sur le site du parti Die Linke (Allemagne). L’annonce est faite par Janis Ehling, directeur général fédéral du parti. 🎯 Nature de l’incident Le 26 mars 2026, le réseau informatique du parti politique allemand Die Linke (siège fédéral) a été la cible d’une attaque ransomware sévère. L’incident a été détecté le jour même, et des parties de l’infrastructure IT ont été isolées du réseau à titre préventif. ...

🌐 Contexte Source : Cyble (cyble.com), publié le 26 mars 2026. Ce rapport couvre la période juillet 2024 – juin 2025 et analyse la menace ransomware pesant sur le secteur de l’énergie et des utilities à l’échelle mondiale. 📊 Chiffres clés Sur la période analysée, le secteur énergétique a enregistré : 187 attaques ransomware confirmées 57 événements de fuite ou violation de données 37 incidents de vente d’accès réseau compromis sur des forums criminels Plus de 39 000 posts hacktivistes ciblant les infrastructures énergétiques 🎯 Groupes ransomware les plus actifs RansomHub : 24 incidents (12,8 %) Akira : 20 incidents (10,7 %) Play : 18 incidents (9,6 %) Qilin et Hunters/Lynx complètent le top 5, responsables collectivement de près de 50 % des incidents 🗺️ Distribution géographique L’Amérique du Nord concentre plus d’un tiers des attaques ransomware. L’Asie et l’Europe absorbent également des parts significatives des ventes d’accès compromis et des violations de données. ...