Ransomware

Source: Hudson Rock — Analyse publiée en février 2026 détaillant le lien entre une infection infostealer (11 janv. 2026) sur un poste personnel d’un employé IT de Conpet et le déploiement ultérieur du ransomware Qilin, revendiqué avec près de 1 To de données volées. Conpet, opérateur national roumain d’oléoducs, a confirmé une cyberattaque majeure. Le groupe de ransomware Qilin revendique le vol d’environ 1 To de données (documents internes, financiers). Hudson Rock identifie un « Patient Zero » via sa plateforme Cavalier : une machine personnelle nommée DESKTOP-TCR5GQM utilisée par un employé IT de Conpet et infectée par un infostealer le 11 janvier 2026 (détectée le 12 janvier par Hudson Rock). 🔍 ...

Selon DataBreach.com, un groupe se faisant appeler 0apt tente de bâtir une réputation de gang ransomware en publiant d’emblée une liste de 190 « victimes » et en proposant des téléchargements qui ne contiennent en réalité que du bruit aléatoire, créant une illusion de fuite massive sans aucune donnée exfiltrée. Leur site de fuites au style minimaliste propose un bouton de téléchargement par « victime », mais les fichiers servis sont en fait des flux infinis de /dev/random, générés à la volée via Tor. L’absence de magic bytes fait passer ces flux pour de gros fichiers chiffrés, et la taille annoncée (centaines de Go) piége l’analyste qui peut passer des jours à télécharger un bruit binaire inutile. ...

Selon Sophos (blog, travaux SophosLabs et CTU), l’enquête part d’incidents de ransomware WantToCry fin 2025 où des VMs affichaient des hostnames NetBIOS générés depuis des templates Windows fournis via la plateforme légitime ISPsystem VMmanager. Les chercheurs ont étendu l’analyse et relié ces hôtes à de multiples opérations cybercriminelles, ainsi qu’à l’écosystème d’hébergement “bulletproof”. Les hostnames récurrents WIN-J9D866ESIJ2 et WIN-LIVFRVQFMKO ont été observés dans plusieurs incidents, liés notamment à des campagnes LockBit, Qilin, BlackCat (ALPHV), WantToCry, et à du NetSupport RAT. Un appareil nommé WIN-LIVFRVQFMKO a aussi été vu dans des chats privés de Conti/TrickBot (“ContiLeaks”, 2022), dans une campagne Ursnif (Italie, 07/2023) et lors de l’exploitation d’une vulnérabilité FortiClient EMS (12/2024). Des recherches Shodan (19/12/2025) ont recensé 3 645 hôtes exposant WIN-J9D866ESIJ2 et 7 937 WIN-LIVFRVQFMKO, majoritairement en Russie, mais aussi dans la CEI, en Europe, aux États‑Unis, et quelques-uns en Iran. Les prestataires dominants incluent Stark Industries Solutions Ltd, First Server Limited, Zomro B.V., Partner Hosting LTD et JSC IOT; certains ont été reliés à des opérations parrainées par l’État russe ou sanctionnés (UE, UK) pour activités de désinformation/déstabilisation. ...

Selon Security.com (Symantec and Carbon Black), une récente campagne de Black Basta se distingue par l’intégration d’un composant d’évasion (BYOVD) directement au sein du payload du rançongiciel, une approche rare pour cette famille et potentiellement en voie de généralisation. Le payload dépose un driver vulnérable NsecSoft NSecKrnl (CVE-2025-68947), crée un service NSecKrnl, puis exploite ce driver en mode noyau pour tuer des processus de sécurité (AV/EDR), avant de chiffrer les fichiers en leur apposant l’extension “.locked”. Sont visés notamment des processus Sophos, Symantec, Microsoft Defender (MsMpEng), CrowdStrike, Cybereason, Trend Micro, ESET et Avast. ...

TechCrunch (Zack Whittaker) détaille l’ampleur croissante de la fuite de données liée à l’attaque au ransomware subie par Conduent, géant govtech et important contractant des administrations américaines. Type d’attaque : ransomware ayant perturbé les opérations de Conduent pendant plusieurs jours en janvier 2025, avec des pannes de services gouvernementaux à travers les États-Unis 🔐. Portée : l’incident semble toucher bien plus de personnes qu’initialement annoncé. Impact chiffré et zones touchées 🇺🇸: ...

Contexte: source non précisée; publication datée du 4 février 2026. En octobre 2023, CISA a ajouté à la base KEV (Known Exploited Vulnerabilities) le champ knownRansomwareCampaignUse pour aider à la priorisation des vulnérabilités. L’auteur rappelle que s’appuyer sur KEV est déjà un indicateur retardé, et attendre en plus le flag ransomware l’est encore davantage, même si les équipes ont parfois besoin de preuves solides pour agir. CISA ne se contente pas d’annoter les nouvelles entrées : l’agence met à jour silencieusement des fiches existantes. Lorsque le champ passe de « Unknown » à « Known », CISA indique disposer de preuves d’usage par des opérateurs de ransomware — un changement matériel de posture de risque qui devrait modifier la priorisation. ...

Source : BleepingComputer — 29 janvier 2026 Vulnérabilité concernée : CVE-2025-22225 (VMware ESXi) — Arbitrary Kernel Write / Sandbox Escape Gravité : Élevée (activement exploitée) Selon BleepingComputer, la CISA a confirmé mercredi que des groupes de rançongiciel exploitent une vulnérabilité de gravité élevée permettant une évasion de sandbox dans VMware ESXi, une faille qui avait auparavant servi dans des attaques zero-day. 🚨 Exploitation confirmée par la CISA: des groupes de ransomware « ont commencé » à tirer parti de la faille. 🧩 Nature de la faille: évasion de sandbox sur VMware ESXi. ⏳ Historique: vulnérabilité déjà observée en zero-day avant cette confirmation d’exploitation par des rançongiciels. 📌 Ce qu’il faut retenir La CISA (Cybersecurity and Infrastructure Security Agency) americiane confirme que des groupes de ransomware exploitent désormais CVE-2025-22225, une faille VMware ESXi qui avait déjà été utilisée comme zero-day. ...

Selon une annonce d’Enviro-Hub Holdings, le groupe a été visé par une attaque par ransomware ayant entraîné un accès non autorisé à ses systèmes. 🧨 Nature de l’incident: attaque par ransomware avec accès non autorisé par un acteur inconnu aux serveurs du groupe. 🛡️ Réponse: confinement et remédiation rapides, recours à des experts externes en cybersécurité. 📊 Impact: d’après les évaluations préliminaires, pas d’impact matériel attendu sur les opérations à ce stade. 📝 Conformité: notification au Personal Data Protection Commission (PDPC) de Singapour; enquêtes en cours. 📈 Marché: le groupe conseille aux actionnaires et investisseurs d’agir avec prudence dans le trading de ses actions en attendant d’éventuels développements matériels. IOCs et TTPs: ...

Selon WTNH, le maire de New Britain (Connecticut), Bobby Sanchez, a confirmé vendredi qu’une « perturbation du réseau » survenue tôt mercredi au sein du service de police était due à une attaque par ransomware. 🕒 Chronologie: une perturbation du réseau est survenue tôt mercredi matin au sein du New Britain Police Department, avant d’être officiellement confirmée vendredi comme étant liée à un ransomware. 🚔 Cible et impact: l’incident touche le service de police de New Britain, avec une perturbation réseau. Aucune autre information opérationnelle n’est détaillée dans l’extrait. ...

Selon Health-ISAC, ce rapport s’appuie sur des données issues de plusieurs initiatives pour illustrer les impacts ressentis par la communauté face aux principales menaces touchant le secteur de la santé en 2025. Le document agrège des informations de la base Health-ISAC Ransomware Events Database, des évaluations de Physical Security et de l’initiative Targeted Alerts, qui a diffusé plus de 1 200 avertissements au secteur en 2025. Il met en avant des enseignements fondés sur les données et sur le partage d’indicateurs via le programme Indicator Sharing. 🏥📊 ...