Rançongiciel

📋 Contexte : Le Groupement d’Intérêt Public Action contre la Cybermalveillance (GIP ACYMA) publie son rapport d’activité 2025, couvrant l’ensemble des menaces cyber observées en France sur l’année. Ce document constitue la septième édition du rapport annuel de Cybermalveillance.gouv.fr. 📊 Chiffres clés : 5,1 millions de visiteurs uniques sur la plateforme (2e année consécutive au-dessus de 5M) 504 000 demandes d’assistance enregistrées, en hausse de +20 % Répartition : 93 % particuliers, 6 % entreprises/associations, 1 % collectivités/administrations Hausse marquée pour les professionnels : +73 % entreprises/associations, +22 % collectivités 🎯 Principales menaces pour les particuliers : ...

📋 Contexte Publié en avril 2026 par InterCERT France (communauté de plus de 130 CERT français), ce rapport d’incidentologie analyse 366 incidents de sécurité documentés en 2025 par 66 membres (40 CERT internes, 21 CERT externes, 5 CERT institutionnels), en hausse de 154 incidents par rapport à 2024. L’étude a été conduite avec l’appui de Wavestone via l’outil « Le Sphinx ». 🎯 Ciblage et motivations Les attaques opportunistes restent largement majoritaires (83% des cas déterminés) Les attaques ciblées ne représentent que 17% de l’échantillon La motivation financière domine (72% des attaques) Les grandes entreprises sont presque deux fois plus ciblées par des attaques d’espionnage, d’influence et de déstabilisation Les 3 secteurs les plus touchés : santé/action sociale (+515% vs 2024), industrie manufacturière (+34%), administration publique (+45%) 🦠 Outils et techniques Près d’une attaque outillée sur trois utilise un rançongiciel Les infostealers constituent le deuxième type d’outil le plus utilisé, en forte hausse en 2025 (campagnes ClickFix et EpiBrowser) La technique la plus observée : exploitation de comptes légitimes (Valid Accounts), centrale dans les kill-chains 2025 Les backdoors et RATs sont utilisés pour établir une persistance avant déploiement de ransomware 34% des systèmes ciblés sont des environnements Microsoft 💥 Rançongiciels — focus 266 attaques recensées par l’OFAC en 2025, en baisse de 37% vs 2024 et 89% vs 2023 Familles les plus actives : Qilin, LockBit, Akira (toutes des franchises RaaS) Qilin revendique une attaque contre l’académie d’Amiens (10 octobre 2025), touchant 80% des lycées publics des Hauts-de-France et vol de plus d'1 To de données ; l’ANSSI recense plus de 700 revendications Qilin en 2025 Le secteur santé est le plus touché, avec une multiplication par deux des incidents vs 2024 85% des attaques par rançongiciel nécessitent une reconstruction partielle ou totale du SI Les PME sont les plus touchées proportionnellement Double levier de négociation : chiffrement du SI + chantage à la fuite de données 🕵️ Infostealers — focus Hausse importante des incidents impliquant des infostealers en 2025 Utilisés dans 13% des cas en amont de l’exécution d’un rançongiciel Dans 1 cas sur 3, combinés avec des backdoors ou RATs Impacts principaux : fuite/vol de données (36%), arrêts d’activité (18%), campagnes de phishing ultérieures (13%) Actifs les plus touchés : comptes utilisateurs, comptes de messagerie, postes utilisateurs 🌐 Attaques non-lucratives — focus Échantillon de 44 incidents à motivation non-lucrative Majorité liée à l’espionnage et au pré-positionnement Les attaques de déstabilisation passent principalement par des DDoS (notamment contre les administrations publiques) Les infostealers sont majoritairement utilisés à des fins de pré-positionnement Les grandes entreprises sont les plus touchées par tous types d’attaques non-lucratives 📊 Type d’article Il s’agit d’un rapport statistique d’incidentologie à visée opérationnelle et décisionnelle, produit par une communauté nationale de CERT. Son but principal est de présenter les tendances de la menace cyber en France en 2025 à partir de données terrain déclaratives, et de fournir des éléments comparatifs avec l’année 2024. ...

Selon CyberScoop (22 janvier 2026), Ianis Aleksandrovich Antropenko, un ressortissant russe installé aux États-Unis, a plaidé coupable dans le Northern District of Texas pour un complot de rançongiciel et de blanchiment d’argent, après une enquête fédérale de plusieurs années. Antropenko a admis avoir dirigé une conspiration de rançongiciel pendant quatre ans, jusqu’en août 2022, ciblant au moins 50 victimes et causant des pertes d’au moins 1,5 million de dollars. Il a utilisé les variantes Zeppelin et GlobeImposter. ...

Source : Office of the Ombudsman (Irlande) — annonce officielle d’un incident cyber. Le Bureau indique avoir mis ses systèmes hors ligne par précaution après une attaque de type rançongiciel, le temps de mener une enquête médico-légale et d’évaluer l’ampleur de l’incident. Nature de l’attaque : rançongiciel à motivation financière 💰🛑. Mesures immédiates : mise hors ligne des systèmes et enquête forensique en cours. Partenaires mobilisés : National Cyber Security Centre (NCSC) d’Irlande et spécialistes externes en réponse à incident. Risque sur les données : les enquêteurs opèrent sur la base que des données ont pu être consultées. Priorités déclarées : établir ce qui s’est passé, restaurer les services en sécurité, et protéger les usagers des services de l’Ombudsman et des bureaux associés. Contexte et objectif : communication officielle visant à informer du confinement de la menace et du déroulé de la réponse à incident en cours. ...

Source: news.microsoft.com (16/10/2025) — Microsoft publie la 6e édition de son rapport Digital Defense couvrant juillet 2024 à juin 2025, détaillant l’évolution des menaces et la position de la Suisse, classée 9e en Europe et 22e au niveau mondial parmi les pays les plus touchés. La Suisse représente environ 3,3 % des organisations européennes affectées, soit près de trois sur cent. Le rapport souligne une accélération de la cybercriminalité en ampleur et en sophistication, motivée principalement par des intérêts financiers et facilitée par l’automatisation et l’IA. ...

Selon l’article, une rétrospective revient sur l’attaque par rançongiciel ayant frappé Capita, un prestataire gérant des données pour des millions de citoyens britanniques. Le texte s’ouvre sur l’idée que lorsqu’une entreprise de cette envergure est victime d’un rançongiciel, l’ensemble du secteur doit y prêter attention. L’article propose une chronologie de l’incident (« CapitaBreachTimeline »), visant à mettre en perspective les événements clés et leur enchaînement ⏱️. Éléments mis en avant: ...

Source: 24heures.ch (Marc Renfer), 03.10.2025 — Article relatant l’attaque subie par la PME vaudoise Bugnard SA et ses conséquences opérationnelles. • Le 24 septembre vers 17h30, Bugnard SA (Cheseaux-sur-Lausanne, succursales Genève et Zurich), leader romand de matériel pour électriciens dont 72% des ventes sont en ligne, est frappée par une attaque au rançongiciel Akira. Un fichier de demande de rançon de 450 000 dollars en bitcoins est découvert dès le lendemain; les pirates abaissent ensuite leur exigence à 250 000 puis 200 000 dollars. 🪙 ...

Source: BleepingComputer (Bill Toulas), 8 septembre 2025. Le fabricant et détaillant américain de meubles Lovesac avertit par courriel d’une violation de données ayant exposé des informations personnelles, à la suite d’un accès non autorisé à ses systèmes internes. https://ago.vermont.gov/sites/ago/files/documents/2025-09-04%20The%20LoveSac%20Company%20Data%20Breach%20Notice%20to%20Consumers.pdf – Chronologie et faits clés: • 📅 Accès malveillant: du 12 février au 3 mars 2025. • 📍 Découverte: 28 février 2025; remédiation en 3 jours pour bloquer l’accès de l’attaquant. • 🧾 Données compromises: noms complets et autres informations personnelles (détails non communiqués). • 👥 Population touchée: nombre d’individus non divulgué; Lovesac n’a pas précisé s’il s’agit de clients, employés ou sous‑traitants. • 🛡️ Mesures offertes: surveillance de crédit 24 mois via Experian (inscription jusqu’au 28 novembre 2025). • 🔎 État d’usage: la société indique n’avoir aucune indication d’un usage abusif et appelle à la vigilance face au phishing. ...

Selon Unit 42, un acteur de menace, identifié comme Storm-2603, exploite des vulnérabilités SharePoint à travers un ensemble d’activités nommé CL-CRI-1040. Ce groupe utilise un outil de malware sophistiqué appelé Project AK47, démontrant une motivation financière. Le malware Project AK47 comprend plusieurs composants, notamment le cheval de Troie AK47C2 qui utilise les protocoles DNS et HTTP pour communiquer, ainsi que le rançongiciel AK47/X2ANYLOCK qui emploie le chiffrement AES/RSA et ajoute l’extension .x2anylock aux fichiers compromis. Le malware intègre des mécanismes de chargement de DLL et utilise une clé XOR codée en dur ‘VHBD@H’. ...

L’article de next.ink rapporte que l’Hôpital privé de la Loire (HPL), situé à Saint-Étienne et géré par le groupe Ramsay, a été victime d’une cyberattaque révélée par Le Progrès le 10 juillet. Dans un communiqué publié le 8 juillet, l’hôpital a confirmé avoir subi un vol d’identité impliquant une « quantité importante de données personnelles » de ses patients, principalement de nature administrative. Cependant, une personne se revendiquant responsable du piratage a contacté la presse pour annoncer qu’elle possédait des données de plus de 530 000 patients, y compris leurs cartes d’identité, et que sa motivation était financière. ...