Rapport GRIT Q2 2026 : 2 279 victimes de ransomware, Qilin et The Gentlemen dominent

📊 Contexte : GuidePoint Security publie son rapport trimestriel GRIT Q2 2026 (avril–juin 2026), couvrant l’ensemble de l’écosystĂšme ransomware et des menaces cyber sur la pĂ©riode. Il s’appuie sur des donnĂ©es publiques issues des sites de fuite des groupes criminels. 🔱 Chiffres clĂ©s du trimestre : 2 279 victimes dĂ©clarĂ©es publiquement, soit +7% par rapport au Q1 2026 et +43% en glissement annuel 91 groupes distincts actifs, record absolu observĂ© par GRIT 108 pays ciblĂ©s (contre 97 au Q1 2026) Les États-Unis reprĂ©sentent 32% des victimes, en baisse historique par rapport aux ~50% habituels 🏆 Groupes les plus actifs : ...

17 juillet 2026 Â· 5 min

Gentlemen RaaS : analyse approfondie du framework EDR killer GentleKiller

🔍 Contexte PubliĂ© le 18 juin 2026 par ESET Research (Jakub Souček), cet article prĂ©sente les rĂ©sultats d’une investigation de plusieurs mois sur le groupe Gentlemen, un gang ransomware-as-a-service (RaaS) apparu fin 2025 et devenu l’un des plus actifs au premier trimestre 2026. L’analyse a Ă©tĂ© enrichie par une fuite de donnĂ©es interne du groupe survenue en mai 2026. 🎭 Profil du groupe Gentlemen FondĂ© par l’alias hastalamuerte (Ă©galement connu sous zeta88), ancien affiliĂ© mĂ©content de Qilin Membres prĂ©cĂ©demment affiliĂ©s Ă  Qilin, Embargo, LockBit, Medusa et BlackLock Offre une part de 90% aux affiliates Utilise la double extorsion (chiffrement + menace de fuite) Encrypteur Go (Windows, Linux) et variante ESXi en C Victimologie atypique : Asie du Sud-Est, AmĂ©rique du Sud, Europe de l’Ouest (pas de focus US) SĂ©lection des victimes basĂ©e sur les mauvaises configurations FortiGate đŸ› ïž Arsenal EDR Killers GentleKiller (outil maison) 8 variantes documentĂ©es, chacune abusant d’un driver diffĂ©rent Cible plus de 400 processus mappĂ©s Ă  48 produits de sĂ©curitĂ© DĂ©ployĂ© dans le rĂ©pertoire GentlemenCollection CaractĂ©ristiques communes : strings cohĂ©rentes, terminaison pĂ©riodique de processus en boucle, obfuscation de code identique IntĂ©gration rapide de nouveaux BYOVD PoCs (en quelques jours) Drivers abusĂ©s par GentleKiller : eb.sys (rootkit Kaspersky PoC) nseckrnl.sys (NSecsoft NSecKrnl) GameDriverX64.sys (anti-cheat Valorant) stpm_old.sys / stpm_new.sys (Safetica ProcessMonitor) dmx.sys (Zemana WatchDog Antimalware) 360netmon_wfp.sys (Qihoo 360) IMFForceDelete (IObit ForceDelete) G11.sys / PoisonX rootkit Outils tiers intĂ©grĂ©s : HexKiller : prĂ©cĂ©demment associĂ© au gang Warlock, abuse googleApiUtil64.sys (Baidu Antivirus BdApi) ThrottleBlood : observĂ© chez MedusaLocker et DragonForce, abuse ThrottleBlood.sys (TechPowerUp LLC) HavocKiller : divulguĂ© publiquement par Huntress le 19 mars 2026, utilisĂ© dĂšs le 23 janvier 2026, abuse havoc.sys (Huawei Audio driver) đŸ›Ąïž StratĂ©gie d’évasion dĂ©fensive Protection binaire avancĂ©e : Enigma ou Themida Usurpation d’identitĂ© de vendors de sĂ©curitĂ© (noms de fichiers, version info, icĂŽnes, certificats copiĂ©s invalides) Suffixes de nommage standardisĂ©s : 1 (Enigma), 2 (Themida), Light (aucun packer), Clear (aucune protection) 🔑 OxideHarvest (credential stealer) Écrit en Rust, attribuĂ© Ă  l’affiliĂ© quant (outil nommĂ© buildx641) Vole les credentials de navigateurs Chromium et Gecko ParamĂštres CLI : -i (hosts), -u (username), -p (password), -t (threads), -o (output) EmballĂ© dans diffĂ©rents packers avec usurpation d’identitĂ© similaire 📋 Type d’article Publication de recherche technique par ESET Research, visant Ă  fournir des insights exploitables sur les TTPs, IoCs et le framework EDR killer du groupe Gentlemen pour les Ă©quipes CTI et dĂ©fensives. ...

19 juin 2026 Â· 5 min

Operation Endgame démantÚle SocGholish : plus de 100 serveurs saisis, 14 971 sites assainis

🌐 Contexte PubliĂ© le 17 juin 2026 par l’équipe Proofpoint Threat Research, cet article dĂ©taille les rĂ©sultats de l’Operation Endgame ciblant le groupe cybercriminel TA569, opĂ©rateur du malware SocGholish (alias FakeUpdates), suivi par Proofpoint depuis 2018. 🚔 Action de forces de l’ordre Le 18 juin 2026, une action coordonnĂ©e impliquant les Pays-Bas (NHCTU), le Canada (RCMP), les États-Unis (FBI) et l’Allemagne (BKA), avec le soutien d’Europol, a permis : La saisie de plus de 100 serveurs et domaines dans le monde entier L’assainissement de 14 971 sites web compromis La perturbation du botnet SocGholish Proofpoint a contribuĂ© en fournissant des informations aux autoritĂ©s. ...

19 juin 2026 Â· 4 min

DragonForce : profil complet du groupe RaaS Ă  double extorsion (CCB, avril 2026)

đŸ›ïž Contexte Le Centre for Cybersecurity Belgium (CCB), dĂ©partement CyTRIS, a publiĂ© le 29 avril 2026 un rapport de threat intelligence (version 1.0, TLP:CLEAR) consacrĂ© au groupe DragonForce, avec une date de coupure renseignement au 16 avril 2026. Ce rapport constitue un profil complet de l’acteur, couvrant sa motivation, son attribution, ses victimes, ses capacitĂ©s techniques et son infrastructure. 🎯 PrĂ©sentation de l’acteur DragonForce est un opĂ©rateur Ransomware-as-a-Service (RaaS) Ă  double extorsion apparu en dĂ©cembre 2023. Le groupe a compromis plus de 400 victimes Ă  ce jour, dont deux organisations belges (secteurs construction et services aux entreprises). Sa motivation est exclusivement financiĂšre, sans affiliation politique ni sponsoring Ă©tatique identifiĂ©. ...

25 mai 2026 Â· 6 min

VIPERTUNNEL : analyse approfondie du backdoor Python SOCKS5 lié à UNC2165/EvilCorp

🔍 Contexte PubliĂ© le 9 avril 2026 par Evgen Blohm (InfoGuard Labs), cet article est issu d’une investigation de rĂ©ponse Ă  incident liĂ©e Ă  une attaque DragonForce ransomware. Lors de la revue de persistance, un artefact inhabituel a Ă©tĂ© identifiĂ© : une tĂąche planifiĂ©e nommĂ©e 523135538 exĂ©cutant C:\ProgramData\cp49s\pythonw.exe sans arguments. đŸ§© MĂ©canisme de persistance et chargement La persistance repose sur sitecustomize.py, un module Python auto-importĂ© au dĂ©marrage. Ce fichier utilise ctypes pour appeler Py_GetArgcArgv et vĂ©rifier le contexte d’exĂ©cution. Si argc == 1, il charge et exĂ©cute b5yogiiy3c.dll (un script Python dĂ©guisĂ© en DLL) via runpy.run_path(). ...

14 avril 2026 Â· 6 min

Ransomware dans le secteur énergétique : 187 attaques confirmées en 2025, analyse globale

🌐 Contexte Source : Cyble (cyble.com), publiĂ© le 26 mars 2026. Ce rapport couvre la pĂ©riode juillet 2024 – juin 2025 et analyse la menace ransomware pesant sur le secteur de l’énergie et des utilities Ă  l’échelle mondiale. 📊 Chiffres clĂ©s Sur la pĂ©riode analysĂ©e, le secteur Ă©nergĂ©tique a enregistrĂ© : 187 attaques ransomware confirmĂ©es 57 Ă©vĂ©nements de fuite ou violation de donnĂ©es 37 incidents de vente d’accĂšs rĂ©seau compromis sur des forums criminels Plus de 39 000 posts hacktivistes ciblant les infrastructures Ă©nergĂ©tiques 🎯 Groupes ransomware les plus actifs RansomHub : 24 incidents (12,8 %) Akira : 20 incidents (10,7 %) Play : 18 incidents (9,6 %) Qilin et Hunters/Lynx complĂštent le top 5, responsables collectivement de prĂšs de 50 % des incidents đŸ—ș Distribution gĂ©ographique L’AmĂ©rique du Nord concentre plus d’un tiers des attaques ransomware. L’Asie et l’Europe absorbent Ă©galement des parts significatives des ventes d’accĂšs compromis et des violations de donnĂ©es. ...

26 mars 2026 Â· 3 min

Ransomware 2025 : TTPs, tendances et déclin de la rentabilité selon Google GTIG

🔍 Contexte PubliĂ© le 16 mars 2026 par le Google Threat Intelligence Group (GTIG), ce rapport analyse les tactiques, techniques et procĂ©dures (TTPs) observĂ©es lors des incidents ransomware traitĂ©s par Mandiant Consulting en 2025. Il couvre des victimes situĂ©es en Asie-Pacifique, Europe, AmĂ©rique du Nord et du Sud, dans presque tous les secteurs d’activitĂ©. 📊 Paysage ransomware 2025 Record historique de posts sur les Data Leak Sites (DLS) en 2025, dĂ©passant 2024 de prĂšs de 50% La rentabilitĂ© globale est en dĂ©clin : taux de paiement de rançon au plus bas historique en Q4 2025 (Coveware), demande moyenne rĂ©duite d’un tiers Ă  1,34 M$ en 2025 contre 2 M$ en 2024 (Sophos) PrĂšs de la moitiĂ© des victimes ont pu restaurer depuis des sauvegardes en 2024 (contre 28% en 2023 et 11% en 2022) LockBit, ALPHV, Basta et RansomHub ont Ă©tĂ© perturbĂ©s ou ont disparu ; Qilin et Akira ont comblĂ© le vide REDBIKE (Akira) est la famille ransomware la plus dĂ©ployĂ©e : ~30% des incidents MontĂ©e en puissance des opĂ©rations de data theft extortion seule (sans chiffrement) Ciblage croissant des petites organisations (moins de 200 employĂ©s) Adoption de technologies Web3 (ICP blockchain, Polygon smart contracts) pour la rĂ©silience des infrastructures IntĂ©gration de l’IA dans les opĂ©rations (nĂ©gociations, analyse des victimes) Doublement des familles ransomware cross-platform (Windows + Linux) 🎯 Vecteurs d’accĂšs initial Exploitation de vulnĂ©rabilitĂ©s : 1/3 des incidents (VPNs et firewalls principalement) Fortinet : CVE-2024-21762, CVE-2024-55591, CVE-2019-6693 SonicWall : CVE-2024-40766 Palo Alto : CVE-2024-3400 Citrix : CVE-2023-4966 Microsoft SharePoint : CVE-2025-53770, CVE-2025-53771 (zero-day par UNC6357) SAP NetWeaver : CVE-2025-31324 CrushFTP : CVE-2025-31161 CVE-2025-8088 exploitĂ© en zero-day par UNC2165 CVE-2025-61882 exploitĂ© contre Oracle EBS (CL0P) Credentials volĂ©s : 21% des incidents identifiĂ©s (VPN, RDP) Malvertising / SEO poisoning : UNC6016 (→ NITROGEN, RHYSIDA), UNC2465 (→ SMOKEDHAM) Bruteforce : attaques prolongĂ©es sur VPNs (ex. Daixin sur prĂšs d’un an) AccĂšs via subsidiaires ou tiers (rĂ©seaux intermĂ©diaires) IngĂ©nierie sociale : UNC5833 via Microsoft Teams + Quick Assist 🔧 TTPs post-compromission Établissement de foothold : ...

25 mars 2026 Â· 7 min

RansomHub revendique une attaque contre Luxshare, assembleur clĂ© d’Apple, avec menace de fuite de donnĂ©es sensibles

Selon Cybernews, un cartel de ransomware nommĂ© RansomHub affirme avoir compromis Luxshare, partenaire majeur d’Apple pour l’assemblage d’iPhone, d’AirPods, d’Apple Watch et de Vision Pro, et menace de publier des donnĂ©es sensibles liĂ©es Ă  Apple, Nvidia et LG si une rançon n’est pas versĂ©e. Les assaillants ont annoncĂ© la prĂ©tendue violation sur un forum du dark web, indiquant que les donnĂ©es des partenaires de Luxshare auraient Ă©tĂ© chiffrĂ©es le 15 dĂ©cembre 2025. Ils exhortent l’entreprise Ă  les contacter pour Ă©viter la fuite de « documents confidentiels et projets ». ...

21 janvier 2026 Â· 3 min

Lovesac signale une violation de donnĂ©es; le gang RansomHub revendique l’attaque

Source: BleepingComputer (Bill Toulas), 8 septembre 2025. Le fabricant et dĂ©taillant amĂ©ricain de meubles Lovesac avertit par courriel d’une violation de donnĂ©es ayant exposĂ© des informations personnelles, Ă  la suite d’un accĂšs non autorisĂ© Ă  ses systĂšmes internes. https://ago.vermont.gov/sites/ago/files/documents/2025-09-04%20The%20LoveSac%20Company%20Data%20Breach%20Notice%20to%20Consumers.pdf – Chronologie et faits clĂ©s: ‱ 📅 AccĂšs malveillant: du 12 fĂ©vrier au 3 mars 2025. ‱ 📍 DĂ©couverte: 28 fĂ©vrier 2025; remĂ©diation en 3 jours pour bloquer l’accĂšs de l’attaquant. ‱ đŸ§Ÿ DonnĂ©es compromises: noms complets et autres informations personnelles (dĂ©tails non communiquĂ©s). ‱ đŸ‘„ Population touchĂ©e: nombre d’individus non divulguĂ©; Lovesac n’a pas prĂ©cisĂ© s’il s’agit de clients, employĂ©s ou sous‑traitants. ‱ đŸ›Ąïž Mesures offertes: surveillance de crĂ©dit 24 mois via Experian (inscription jusqu’au 28 novembre 2025). ‱ 🔎 État d’usage: la sociĂ©tĂ© indique n’avoir aucune indication d’un usage abusif et appelle Ă  la vigilance face au phishing. ...

15 septembre 2025 Â· 2 min

Intrusion par attaque de Password Spray et déploiement de Ransomware RansomHub

L’article de THE DFIR REPORT dĂ©taille une intrusion complexe survenue en novembre 2024, oĂč des attaquants ont utilisĂ© une attaque de Password Spray pour accĂ©der Ă  un serveur RDP exposĂ©. Cette attaque a permis aux cybercriminels de compromettre plusieurs comptes utilisateurs sur une pĂ©riode de quatre heures. Une fois l’accĂšs initial obtenu, les attaquants ont utilisĂ© des outils tels que Mimikatz et Nirsoft CredentialsFileView pour rĂ©colter des identifiants, et ont menĂ© des activitĂ©s de reconnaissance Ă  l’aide de commandes intĂ©grĂ©es et d’outils tiers comme Advanced IP Scanner et NetScan. Ils ont Ă©galement utilisĂ© Rclone pour exfiltrer des donnĂ©es vers un serveur distant via SFTP. ...

30 juin 2025 Â· 1 min
Derniùre mise à jour le: 18 juillet 2026 📝