Ransomware

🗓️ Contexte Article publié le 3 mai 2026 sur webhosting.today par Łukasz Nowak. Il s’agit d’un suivi d’une couverture initiale du 29 avril 2026 portant sur la divulgation d’une vulnérabilité critique dans cPanel et WHM. L’article compile des données de Rapid7, Censys, GreyNoise, KnownHost et NocInit. 🔍 Vulnérabilité CVE-2026-41940 est classée CWE-306 (Missing Authentication for Critical Function). Le mécanisme technique repose sur une injection CRLF dans le processus de chargement et sauvegarde de sessions de cPanel, permettant à un attaquant non authentifié de manipuler les fichiers de session et d’injecter des privilèges root, contournant entièrement l’écran de connexion sur les interfaces cPanel et WHM. ...

🔍 Contexte Le 1er mai 2026, l’équipe Censys ARC publie une analyse de menace suite à la divulgation le 29 avril 2026 de CVE-2026-41940, une vulnérabilité critique de contournement de pré-authentification affectant cPanel et WHM. La faille impacte le flux de connexion et permet à un attaquant distant non authentifié de contourner les contrôles d’authentification et d’obtenir un accès élevé. 📈 Détection de la vague d’exploitation Censys a observé une augmentation brutale du nombre d’hôtes classifiés comme malveillants dans son dataset, avec un doublement des comptages par rapport à la veille. En corrélant les données avec les signaux de classification GreyNoise, l’analyse révèle que : ...

📰 Source : U.S. Department of Justice (justice.gov) — Date : 4 mai 2026 Un ressortissant letton, Deniss Zolotarjovs, a été condamné à 102 mois de prison pour son rôle au sein d’un important groupe ransomware d’origine russe. La condamnation a été prononcée dans le cadre d’une procédure judiciaire fédérale américaine. 🎯 Victimes et impact : Plus de 54 entreprises ciblées et extorquées Une entité gouvernementale dont le système 911 a été mis hors ligne Utilisation de données de santé d’enfants volées comme levier d’extorsion pour augmenter la pression sur les victimes 🌐 Contexte opérationnel : Zolotarjovs aurait opéré depuis un pays sans traité d’extradition, en utilisant des outils d’anonymisation et des schémas complexes de cryptomonnaies pour dissimuler ses activités. Son arrestation et sa poursuite judiciaire illustrent la portée internationale des forces de l’ordre américaines. ...

📉 173 revendications cette semaine (-63, -26.7% par rapport à S17) Période : 27.04.2026 au 03.05.2026 Analyse Ransomware – Semaine 18 2026 (27.04 – 03.05.2026) Source : eCrime.ch — Données basées sur les revendications publiées sur les sites d’extorsion des groupes ransomware. Vue d’ensemble La semaine 18 de 2026 enregistre 173 revendications d’attaques par rançongiciel, soit une baisse de 63 cas par rapport à la semaine précédente (S17 : 236 revendications), représentant un recul de 26,7 %. Cette diminution est notable mais doit être interprétée avec prudence : les volumes hebdomadaires sont soumis à des variations régulières, notamment en lien avec les cycles de publication des groupes actifs. ...

📰 Contexte Source : biv.com, publiée le 1er mai 2026. L’article couvre la certification judiciaire d’une action collective au Canada (Colombie-Britannique) en lien avec une attaque ransomware subie par la South Coast B.C. Transportation Authority (TransLink) le 1er décembre 2020. 🎯 Incident Le 1er décembre 2020, le personnel informatique de TransLink a découvert que des cybercriminels avaient compromis leur réseau IT. L’attaque a débuté par une tentative de phishing réussie ciblant un employé d’une filiale opérationnelle de TransLink, permettant aux attaquants d’accéder au réseau et d’y déployer un ransomware. ...

🗓️ Contexte Source : Aviation Business News — Article publié le 29 avril 2026. L’information repose sur une déclaration officielle de Stelia North America confirmant l’incident. 🎯 Nature de l’incident Stelia North America, entité détenue par Airbus Atlantic, a été victime d’une attaque de type ransomware. L’entreprise a confirmé l’incident dans un communiqué officiel. 🛡️ Réponse à l’incident Dès la détection, les mesures suivantes ont été activées : Activation des protocoles de cyberdéfense Isolation des systèmes affectés Lancement d’une investigation forensique complète avec des experts externes en cybersécurité 📌 Périmètre d’impact Selon la déclaration de Stelia, l’incident est strictement contenu à l’environnement IT de Stelia North America et n’impacte pas le réseau Airbus Atlantic dans son ensemble. ...

🗓️ Contexte Source : Ars Technica, article de Dan Goodin publié le 29 avril 2026. L’article relate une série d’incidents en cascade sur une période de 40 jours, impliquant plusieurs entreprises de cybersécurité et deux groupes d’attaquants distincts. 🔗 Chronologie des incidents 19 mars 2026 : Compromission du compte GitHub de Trivy, scanner de vulnérabilités open source. Le groupe TeamPCP pousse du malware vers les utilisateurs de Trivy, dont Checkmarx. Le malware cible des tokens de dépôts, clés SSH et autres credentials. 23 mars 2026 : Le compte GitHub de Checkmarx est compromis à son tour et commence à distribuer du malware à ses propres utilisateurs. Checkmarx détecte et tente de remédier à la brèche. 30 mars 2026 : Date de la donnée exfiltrée et ultérieurement publiée par Lapsu$, indiquant que l’accès persistait malgré les tentatives de remédiation. 22 avril 2026 : Nouvelle vague de malware poussée depuis le compte GitHub de Checkmarx. Le dépôt Docker Hub officiel Checkmarx/kics publie également des packages malveillants. Bitwarden est aussi touché : un package malveillant est distribué via npm (@bitwarden/cli@2026.4.0) entre 17h57 et 19h30 (ET). Fin avril 2026 : Lapsu$ publie des données privées de Checkmarx sur le dark web. 🎯 Victimes et vecteurs Trivy : point d’entrée initial (compte GitHub compromis) Checkmarx : victime de la supply-chain Trivy, puis vecteur de distribution vers ses propres clients ; victime de fuite de données par Lapsu$ Bitwarden : victime de la même campagne, via le package npm @bitwarden/cli@2026.4.0 👥 Acteurs de la menace TeamPCP : groupe access-broker, responsable de la compromission de Trivy et de la collecte de credentials. Cible prioritairement les outils disposant d’accès privilégiés. Lapsu$ : groupe ransomware, principalement composé de jeunes adultes, connu pour ses intrusions dans de grandes entreprises et ses provocations publiques. A acquis les accès de Checkmarx auprès de TeamPCP. 🔧 Infrastructure commune Selon la société Socket, le payload utilisé contre Bitwarden partage le même endpoint C2 et la même infrastructure core que le malware utilisé contre Checkmarx, établissant le lien avec la campagne Trivy. ...

🗞️ Contexte Article publié le 1er mai 2026 par The Register (Carly Page). Il rapporte l’exploitation active d’une vulnérabilité critique dans cPanel et WHM, l’un des panneaux de gestion d’hébergement web les plus répandus au monde, ainsi que dans WP Squared, une couche de gestion WordPress construite sur la même plateforme. 🔍 Vulnérabilité CVE-2026-41940 — score CVSS 9.8 (critique) Affecte toutes les versions supportées de cPanel/WHM postérieures à la version 11.40, ainsi que WP Squared Un exploit réussi permet la prise de contrôle totale du serveur Le patch a été publié par cPanel un mardi ; l’exploitation était déjà en cours avant cette date CISA a ajouté la faille à son catalogue Known Exploited Vulnerabilities (KEV) le jeudi suivant 📅 Chronologie de l’exploitation 23 février 2026 : premières tentatives d’exploitation observées par l’hébergeur KnownHost (déclaration du CEO Daniel Pearson sur Reddit) Avant le patch : exploitation confirmée en conditions réelles Post-patch : CISA confirme l’exploitation active ; Namecheap a temporairement bloqué l’accès à cPanel/WHM en attendant les correctifs 💥 Impact observé Un propriétaire de petite entreprise a signalé sur Reddit avoir été victime d’une attaque ransomware suite à l’exploitation de cette vulnérabilité sur une configuration cPanel standard Demande de rançon : 7 000 $ pour déverrouiller les systèmes L’hébergeur de la victime semblait débordé par l’incident Rapid7, via Shodan, a identifié environ 1,5 million d’instances cPanel exposées sur Internet cPanel sous-tend l’hébergement de dizaines de millions de sites web 🎯 Profil des cibles Hébergeurs web et leurs clients Petites structures dépendant de fournisseurs d’hébergement mutualisé Sites WordPress gérés via WP Squared 📄 Nature de l’article Article de presse spécialisée relatant une annonce d’incident en cours, combinant des éléments de rapport d’exploitation active, de réponse des hébergeurs et de témoignages de victimes. But principal : informer sur l’étendue de l’exploitation et l’urgence de la situation. ...

📰 Source : woodtv.com — Date de publication : 28 avril 2026 🏛️ La Kent District Library (KDL), réseau de bibliothèques publiques du comté de Kent (Michigan, États-Unis), a officiellement confirmé que la fermeture de l’ensemble de ses agences est consécutive à un événement ransomware. 🔍 L’organisation indique avoir récemment découvert l’incident et avoir immédiatement lancé une investigation pour déterminer la nature et l’étendue complète de l’attaque. Un email a été envoyé aux usagers de la KDL le lundi soir pour les informer de la situation. ...

🌐 Contexte Publié le 28 avril 2026 par Europol (European Union Agency for Law Enforcement Cooperation), l’Internet Organised Crime Threat Assessment (IOCTA) 2026 constitue l’évaluation annuelle la plus complète des cybermenaces pesant sur l’Union européenne. Le rapport s’intitule « How encryption, proxies and AI are expanding cybercrime » et couvre les développements observés principalement en 2025. 🎯 Principaux vecteurs de menace identifiés Ransomware Plus de 120 familles de ransomware actives observées par Europol en 2025 Modèle RaaS (Ransomware-as-a-Service) dominant, avec fragmentation croissante des opérations Groupes notables : Qilin, Akira, LockBit (tentatives de rebond avec LockBit 5.0), DragonForce, BlackBasta, Cl0p, Play, Fog En septembre 2025, une coalition DragonForce + LockBit + Qilin annoncée sur le dark web Tactiques d’extorsion multi-couches : exfiltration de données, DDoS simultanés, cold-calling, pression psychologique Shift de l’extorsion : de la demande de déchiffrement vers la menace de publication des données Fraude en ligne (OFS) Fraude représentant la zone de croissance la plus rapide de la criminalité organisée Typologies principales : fraude à l’investissement (crypto), BEC, romance scam, tech support fraud, fraude aux paiements Usage massif de SIM boxes / SIM farms (ex : réseau letton de 7 individus, 1 200 dispositifs, 40 000 SIM cards, 49 millions de comptes créés) Montée des IMSI catchers et SMS blasters pour contourner les protocoles KYC Drainers de cryptomonnaies maturés en système CaaS (acquisition d’Inferno Drainer par Angel Drainer en octobre 2024) Attaques relay sur terminaux de paiement en hausse dans l’UE Adoption de l’IA générative pour personnaliser l’ingénierie sociale, scripts d’appel, chatbots de pré-sélection des victimes Infrastructure criminelle Dark web : fragmentation des marketplaces généralistes, émergence de plateformes spécialisées Démantèlement d’Archetyp Market (600 000 utilisateurs, EUR 250M de transactions, juin 2025) ; émergence de BlackOps, TorZon, Nexus Market DarkForums successeur de BreachForums Bullet-proof hosting (BPH) avec sous-location multi-juridictionnelle Proxies résidentiels pour masquer le trafic malveillant Abus DNS pour phishing, C2 de botnets, distribution de malwares Démantèlement de Cryptomixer (EUR 1,3 milliard en Bitcoin mixés depuis 2016, novembre 2025) Montée des privacy coins, chain-hopping, bridges blockchain, DEX, coinjoin pour le blanchiment Menaces hybrides et DDoS Acteurs étatiques utilisant des réseaux cybercriminels comme proxies pour des opérations de déstabilisation NoName057(16) : réseau pro-russe ciblant gouvernements et entreprises, démantelé partiellement lors de l’Opération Eastwood (juillet 2025, 19 pays impliqués) DDoS lors du Sommet OTAN de La Haye (juin 2025) Coalition Scattered LAPSUS$ Hunters (SLSH) : Scattered Spider + ShinyHunters + LAPSUS$ (annoncée août 2025) Exploitation sexuelle des enfants en ligne (CSAM) Kidflix démantelé (1,8M utilisateurs, 80 000 vidéos, 1 400 suspects identifiés, 39 enfants protégés) Hausse de 70% des signalements de sextorsion financière (NCMEC, H1 2025 vs H1 2024) CSAM généré par IA en forte progression (modèles text-to-image, text-to-video, image-to-image) Réseau The Com : communautés en ligne mêlant CSE, cyberattaques, extorsion, violence extrême Plateforme Help4U lancée par Europol en novembre 2025 pour soutenir les victimes mineures 🔧 Opérations de police majeures citées Opération Endgame : démantèlement de Smokeloader, Bumblebee, Lactrodectus, Qakbot, Hijackloader, DanaBot, Trickbot, Warmcookie, Rhadamantys, VenomRAT, Elysium botnet Phobos/8Base : arrestation de 4 ressortissants russes, avertissement de 400 entreprises Cryptomixer.io : saisie de EUR 25M en cryptomonnaies, 12 To de données Archetyp Market : arrestation de l’administrateur à Barcelone NoName057(16) : Opération Eastwood, 9 arrestations, +100 serveurs perturbés Réseau SIM box letton : 7 arrestations (octobre 2025) CSAM IA : 25 arrestations mondiales, 273 suspects identifiés 📋 Type d’article Il s’agit d’un rapport stratégique annuel publié par Europol, destiné aux décideurs stratégiques, politiques et opérationnels des autorités répressives de l’UE. Son but principal est de fournir une évaluation structurée et factuelle du paysage des cybermenaces pour orienter les priorités opérationnelles et politiques en matière de lutte contre la cybercriminalité. ...