Ransomware

Selon Interpol, l’initiative coordonnée « Opération Sentinel » menée entre le 27 octobre et le 27 novembre, avec la participation de 19 pays, a visé des affaires de compromission de courriels professionnels (BEC), d’extorsion et de ransomware. 🚔 Résultats clés: 574 arrestations et 3 millions de dollars récupérés. 🌐 Disruption: plus de 6 000 liens malveillants démantelés. 🔐 Ransomware: six variantes distinctes déchiffrées. 💰 Impact financier: des cas liés à plus de 21 millions de dollars de pertes. Interpol met en avant plusieurs succès majeurs obtenus durant l’opération : ...

Selon l’agence roumaine de cybersécurité, une attaque par ransomware a visé l’Administrația Națională Apele Române (Apele Române), l’administration nationale des eaux, avec des travaux de remédiation toujours en cours. L’agence roumaine de cybersécurité a confirmé qu’une attaque ransomware majeure a touché l’Administrația Națională Apele Române (ANAR), l’organisme public chargé de la gestion des ressources en eau du pays. Environ 1 000 systèmes informatiques ont été compromis, et les opérations de remédiation sont toujours en cours. ...

Selon une actualité multi-source, le gang de ransomware Clop (Cl0p) vise des serveurs Gladinet CentreStack exposés sur Internet dans le cadre d’une nouvelle campagne d’extorsion par vol de données. 🚨 Faits principaux Acteur : Clop (Cl0p) Type d’attaque : extorsion par vol de données (data theft extortion) Cible : serveurs Gladinet CentreStack exposés sur Internet Impact visé : exfiltration de fichiers et pression d’extorsion 1) Contexte Le groupe de ransomware Clop (Cl0p) lance une nouvelle campagne d’extorsion ciblant les serveurs Gladinet CentreStack exposés sur Internet. CentreStack est une solution de partage de fichiers permettant aux entreprises d’accéder à des serveurs internes via navigateur, applications mobiles ou lecteurs réseau, sans VPN. Selon Gladinet, la solution est utilisée par des milliers d’entreprises dans plus de 49 pays. 2) Nature de l’attaque Les attaquants : scannent Internet à la recherche de serveurs CentreStack accessibles publiquement compromettent les systèmes déposent des notes de rançon L’objectif principal semble être le vol de données suivi d’extorsion, et non le chiffrement classique. 3) Vulnérabilité exploitée : inconnue À ce stade : aucun CVE n’a été identifié il est inconnu s’il s’agit : d’un zero-day ou d’une faille déjà corrigée mais non patchée Gladinet a publié plusieurs correctifs depuis avril, certains pour des failles zero-day déjà exploitées dans le passé. 4) Surface d’attaque et exposition Selon Curated Intelligence : au moins 200 adresses IP uniques exposent une interface web identifiable comme “CentreStack – Login” Ces systèmes constituent des cibles potentielles immédiates pour Clop. « Incident Responders […] ont rencontré une nouvelle campagne d’extorsion CLOP ciblant des serveurs CentreStack exposés sur Internet. » — Curated Intelligence ...

Selon BleepingComputer, le service de ransomware RansomHouse a récemment amélioré son chiffreur, délaissant une approche linéaire en une seule phase au profit d’une méthode multi‑couches plus complexe. 1) Contexte RansomHouse est une opération de cybercriminalité active depuis décembre 2021, initialement centrée sur l’extorsion par vol de données, avant d’intégrer progressivement le chiffrement. Le groupe opère selon un modèle RaaS et dispose d’outils dédiés, dont MrAgent, capable de chiffrer plusieurs hyperviseurs VMware ESXi simultanément. Récemment, RansomHouse a été observé utilisant plusieurs familles de ransomwares lors d’attaques, notamment contre Askul Corporation, un géant japonais du e-commerce. 2) Évolution majeure : le nouvel encryptor « Mario » Les chercheurs de Palo Alto Networks – Unit 42 ont analysé une nouvelle variante d’encryptor, baptisée Mario. Cette version marque un changement architectural important : passage d’un chiffrement linéaire en une seule phase à un processus multi-couches plus complexe 👉 Objectif : améliorer la robustesse du chiffrement, la vitesse d’exécution et la fiabilité sur des environnements modernes. ...

Selon un communiqué du Department of Justice (Office of Public Affairs) publié le 19 décembre 2025, un ressortissant ukrainien, Artem Aleksandrovych Stryzhak, a plaidé coupable de conspiration pour fraude informatique pour son rôle dans des attaques au ransomware Nefilim visant des entreprises aux États‑Unis et à l’international. Les documents judiciaires indiquent que le groupe a déployé le ransomware Nefilim contre des réseaux d’entreprises, causant des dommages importants. Pour chaque victime, les auteurs généraient un exécutable de rançongiciel unique, une clé de déchiffrement correspondante et une note de rançon personnalisée. En cas de paiement, ils fournissaient la clé permettant de déchiffrer les fichiers. ...

Source: annonce officielle de l’entreprise. Contexte: la société signale un incident de sécurité affectant sa filiale au Vietnam, avec communication d’excuses aux clients et partenaires. 🚨 L’entreprise indique qu’une tierce partie a réalisé un accès non autorisé aux systèmes de DAINICHI COLOR VIETNAM CO., LTD., provoquant une infection par ransomware touchant des serveurs internes et des systèmes connexes. L’annonce inclut des excuses pour l’« inquiétude et l’inconvénient » causés aux clients, partenaires commerciaux et autres parties concernées. ...

Contexte: Article de presse publié le 18 décembre 2025 (source non précisée dans l’extrait). L’article rapporte une attaque informatique touchant le Minersville School District. Type d’attaque: ransomware 🔒 Réaction initiale: détection lundi matin par un programme antivirus, mise hors ligne de l’ensemble du système et contact avec l’assureur dont l’équipe cybersécurité conseille le district. Impact 🏫: Fermeture des écoles pendant deux jours (mardi et mercredi). Indisponibilité de certaines données informatiques du district. Décision sur la journée de jeudi attendue mercredi soir, selon le surintendant Michael Maley. Mesures en cours 🛠️: ...

Source: SuspectFile.com — Le média annonce avoir conduit en août 2025 sa première interview avec Securotrop, décrit comme un jeune acteur du paysage du ransomware. L’article met en avant l’existence d’un entretien direct avec le groupe Securotrop, positionné comme un nouvel acteur du ransomware. 💥 L’information centrale est la tenue de cette interview par SuspectFile.com, soulignant l’intérêt éditorial pour les activités et la place de Securotrop dans l’écosystème des rançongiciels. 1) Contexte général Securotrop est un groupe ransomware relativement jeune, apparu initialement comme affilié d’un Ransomware-as-a-Service (RaaS) bien établi. En 2025, le groupe utilisait le ransomware de Qilin, ce qui lui permettait de se concentrer sur les opérations (intrusion, exfiltration, négociation) sans gérer le développement logiciel. Une première interview menée en août 2025 montrait déjà un haut niveau de maturité opérationnelle, malgré la jeunesse du groupe. 2) Évolution majeure : passage à un ransomware propriétaire Securotrop opère désormais avec un ransomware entièrement développé en interne. Cette transition n’est pas liée à un conflit avec Qilin, mais à une volonté stratégique d’indépendance et de différenciation de marque. Le groupe rejette explicitement toute évolution vers un modèle RaaS. 3) Avantages opérationnels revendiqués Contrôle total Maîtrise complète de : l’encryption la génération et la gestion des clés les outils de déchiffrement les négociations avec les victimes Flexibilité Le ransomware s’adapte à l’infrastructure de la victime, et non l’inverse. Aucune contrainte imposée par un logiciel tiers. Continuité et fiabilité Procédures de tests automatisés et manuels systématiques Vérification de chaque build avant déploiement opérationnel 4) Aspects techniques clés Schéma de chiffrement standard : AES / ChaCha pour les données RSA pour l’obfuscation des clés Le groupe reconnaît que les ransomwares diffèrent peu sur le plan cryptographique : les améliorations portent surtout sur la performance (CPU / I/O) L’outil ajuste dynamiquement les méthodes de chiffrement selon : la taille des données la capacité matérielle de la cible 5) Tactiques, techniques et procédures (TTPs) Aucune modification majeure des TTPs post-exploitation : escalade de privilèges mouvements latéraux persistance Le chiffrement reste la toute dernière étape Le timing global (accès initial → exfiltration → chiffrement) reste inchangé 6) Gestion des risques et OPSEC L’indépendance technique accroît : les risques de fingerprinting les possibilités d’attribution Securotrop reconnaît cette exposition mais indique : mettre en place des mesures OPSEC proactives accepter que le fingerprinting soit, à terme, inévitable 7) Négociation et extorsion Les capacités de personnalisation (notes de rançon, délais, escalade) existaient déjà sous Qilin Le changement n’avait pas pour objectif principal d’améliorer la négociation, mais l’identité du groupe 8) Positionnement stratégique Refus clair d’un modèle RaaS Motifs invoqués : marché saturé volonté de rester un acteur fermé et contrôlé Mise en avant de “standards et principes” propres, distincts de ceux de Qilin et de ses affiliés 9) TTPs et IoCs TTPs Développement et exploitation d’un ransomware propriétaire Double extorsion (implicite) Automatisation et tests continus Gestion centralisée des négociations OPSEC proactive face à l’attribution IoCs ❌ Aucun indicateur technique (hashs, infrastructures, domaines) communiqué dans l’interview Conclusion: il s’agit d’un article de presse spécialisé annonçant une interview avec un groupe lié au ransomware, dont le but principal est de présenter ce contenu éditorial et son protagoniste. ...

Source: Cisco Talos — Dans une analyse technique, Talos détaille une campagne de ransomware DeadLock utilisant un loader BYOVD inédit pour exploiter la vulnérabilité du driver Baidu Antivirus (CVE-2024-51324), neutraliser les EDR, étendre l’accès puis chiffrer des systèmes Windows avec un algorithme maison. Exploitation BYOVD et évasion des défenses. L’acteur place un loader (« EDRGay.exe ») et le driver vulnérable de Baidu renommé (« DriverGay.sys ») dans le dossier Vidéos, initialise le périphérique « \.\BdApiUtil » et envoie un IOCTL 0x800024b4 (fonction 0x92D) pour forcer, en mode noyau, la terminaison des processus EDR (ZwTerminateProcess) sans vérification de privilèges — T1211: Exploitation for Defense Evasion. Cette étape désactive les défenses et élève les privilèges pour préparer le chiffrement. ...

Selon Dragos, ce rapport de menace couvre le T3 2025 (juillet-septembre) et analyse les tendances ransomware visant les environnements ICS/OT et les systèmes IT qui soutiennent les opérations industrielles. • Volume et cibles : Dragos recense 742 incidents ransomware (+) touchant des entités industrielles, avec l’Amérique du Nord en tête, suivie de l’Europe puis de l’Asie (hausse en Thaïlande). Le secteur manufacturier concentre 72% des cas (532), dont la construction (142) comme sous-secteur le plus affecté. D’autres secteurs en hausse incluent gouvernement (35) et électrique/renouvelables (16). Les impacts montrent comment des intrusions IT peuvent perturber la production et la logistique sans toucher directement les réseaux ICS. ...