RaaS

Selon BleepingComputer, le service de ransomware RansomHouse a récemment amélioré son chiffreur, délaissant une approche linéaire en une seule phase au profit d’une méthode multi‑couches plus complexe. 1) Contexte RansomHouse est une opération de cybercriminalité active depuis décembre 2021, initialement centrée sur l’extorsion par vol de données, avant d’intégrer progressivement le chiffrement. Le groupe opère selon un modèle RaaS et dispose d’outils dédiés, dont MrAgent, capable de chiffrer plusieurs hyperviseurs VMware ESXi simultanément. Récemment, RansomHouse a été observé utilisant plusieurs familles de ransomwares lors d’attaques, notamment contre Askul Corporation, un géant japonais du e-commerce. 2) Évolution majeure : le nouvel encryptor « Mario » Les chercheurs de Palo Alto Networks – Unit 42 ont analysé une nouvelle variante d’encryptor, baptisée Mario. Cette version marque un changement architectural important : passage d’un chiffrement linéaire en une seule phase à un processus multi-couches plus complexe 👉 Objectif : améliorer la robustesse du chiffrement, la vitesse d’exécution et la fiabilité sur des environnements modernes. ...

Selon Dragos, ce rapport de menace couvre le T3 2025 (juillet-septembre) et analyse les tendances ransomware visant les environnements ICS/OT et les systèmes IT qui soutiennent les opérations industrielles. • Volume et cibles : Dragos recense 742 incidents ransomware (+) touchant des entités industrielles, avec l’Amérique du Nord en tête, suivie de l’Europe puis de l’Asie (hausse en Thaïlande). Le secteur manufacturier concentre 72% des cas (532), dont la construction (142) comme sous-secteur le plus affecté. D’autres secteurs en hausse incluent gouvernement (35) et électrique/renouvelables (16). Les impacts montrent comment des intrusions IT peuvent perturber la production et la logistique sans toucher directement les réseaux ICS. ...

Selon un article d’actualité du 13 décembre 2025 publié par The Register, le collectif hacktiviste pro‑russe CyberVolk fait son retour après plusieurs mois de silence avec un nouveau service de ransomware‑as‑a‑service (RaaS). La « mauvaise nouvelle » mise en avant est le lancement, à la fin de l’été, de CyberVolk 2.x (aka VolkLocker), une opération RaaS. Elle est entièrement pilotée via Telegram ✈️, ce qui abaisse fortement la barrière à l’entrée pour les affiliés. ...

Selon Trend Micro, cette analyse détaille l’évolution et les techniques de DragonForce (Water Tambanakua), un ransomware-as-a-service qui a muté d’un usage des builders LockBit 3.0 en 2023 vers un modèle de « cartel » RaaS en 2025. Le groupe propose aux affiliés jusqu’à 80% des rançons et fournit des payloads multivariants pour Windows, Linux, ESXi et NAS, ainsi que des outils avancés dont des services d’analyse de données pour l’extorsion. Des liens avec Scattered Spider, RansomHub et d’autres acteurs sont évoqués, suggérant un écosystème complexe. 🐉 ...

Source: Check Point Blog (Check Point Research), 23 octobre 2025. Contexte: après la disruption d’«Operation Cronos» début 2024, le groupe de ransomware LockBit réapparaît, relance son modèle RaaS et extorque déjà de nouvelles victimes. • Retour confirmé et nouvelles victimes 🚨: CPR indique que LockBit est de nouveau opérationnel et a ciblé une douzaine d’organisations en septembre 2025. Environ la moitié des cas impliquent la nouvelle variante LockBit 5.0 (« ChuongDong »), le reste étant attribué à LockBit Black. ...

Selon Intel 471, des responsables européens ont révélé l’existence d’un task force secret du FBI nommé « Group 78 », dédié à la perturbation de groupes de ransomware russes — en particulier Black Basta — via des opérations clandestines. Le groupe viserait à désorganiser les membres en Russie et à retourner le pays contre les cybercriminels. La même source rappelle que Black Basta a extorqué au moins 100 M$ depuis avril 2022 et qu’une fuite en février 2025 de 200 000 messages de chat a exposé sa structure, ses TTPs et l’identité de membres. Ces révélations auraient tendu les relations entre autorités américaines et européennes en raison de méthodes opérationnelles et d’implications juridiques. ...

Selon l’article de analyst1, en septembre 2025, un opérateur de ransomware se présentant comme « Devman » a partagé un lien vers une nouvelle plateforme de Ransomware-as-a-Service (RaaS) quelques jours avant son lancement public. L’auteur décrit que « Devman » avait travaillé en solo pendant des mois sur du code DragonForce modifié, avant de formaliser une marque et de recruter des affiliés pour opérer en modèle RaaS. 🧩 Le timing est présenté comme inhabituel: quelques semaines auparavant, « Devman » affirmait quitter son équipe ransomware pour des raisons personnelles. Au lieu de se retirer, il a construit davantage d’infrastructure, lancé un programme d’affiliation et s’est positionné comme opérateur RaaS. 🔄 ...

ReliaQuest (Threat Spotlight) publie une analyse du paysage ransomware au T3 2025, mettant en avant une intensification des menaces, des évolutions tactiques notables et des mesures défensives recommandées. 📈 Le trimestre enregistre un record de 81 sites de fuite de données actifs. Le paysage se fragmente, de plus petites équipes comblant le vide laissé par de grandes opérations, ce qui entraîne des schémas d’attaque imprévisibles touchant de nouveaux secteurs et régions. La Thaïlande subit une hausse de 69 % des attaques, tandis que le secteur de la santé progresse de 31 %, porté par des groupes émergents. Qilin reste le groupe le plus actif avec un nombre record de victimes listées. ...

Source et contexte — L’Australian Institute of Criminology (AIC), dans sa série « Trends & issues in crime and criminal justice » n°719 (septembre 2025), publie une étude quantitative sur les groupes de rançongiciels visant des organisations en Australie, Canada, Nouvelle‑Zélande et Royaume‑Uni entre 2020 et 2022, à partir des données issues des sites d’extorsion suivis par Recorded Future et d’autres sources ouvertes (865 attaques au total). Les secteurs victimes ont été catégorisés via gpt‑3.5‑turbo (validation 89%). ...

Contexte — L’extrait cite le Threat Debrief de Bitdefender et dresse un état des lieux 2025 où SafePay, auparavant discret, devient un acteur marquant du paysage ransomware. • Chiffres clés: plus de 270 victimes revendiquées depuis le début de l’année. En juin, SafePay arrive en tête du classement de Bitdefender avec 73 organisations revendiquées en un mois. En juillet, le groupe annonce 42 nouvelles victimes, son deuxième meilleur total mensuel. ...