Ransomware

🗓️ Contexte Article publié par Reuters le 22 juin 2026, basé sur des informations de chercheurs en cybersécurité et une déclaration officielle de Tata Electronics. L’incident a été rendu public après la découverte de données volées sur le dark web. 🎯 Incident Tata Electronics, l’un des principaux partenaires de fabrication d’Apple en Inde, a confirmé avoir détecté un incident de cybersécurité sur certains de ses systèmes il y a plusieurs semaines. La société a indiqué que ses opérations restent non affectées. ...

📉 208 revendications cette semaine (-45, -17.8% par rapport à S24) Période : 15.06.2026 au 21.06.2026 Analyse Ransomware — Semaine 25 / 2026 (15 – 21 juin 2026) Source : eCrime.ch — Données de revendications publiques Vue d’ensemble La semaine 25 enregistre 208 revendications de rançongiciels, soit une baisse de 45 cas par rapport à la semaine précédente (S24 : 253 revendications), représentant un recul de 17,8 %. Cette diminution fait suite à une semaine S24 marquée par un volume inhabituellement élevé, en grande partie attribuable à l’activité massive du groupe DeadLock (74 revendications à lui seul). Le niveau actuel s’inscrit dans une fourchette plus conforme aux volumes observés sur les semaines antérieures. ...

🔍 Contexte Le 18 juin 2026, ThreatDown publie une analyse approfondie d’une nouvelle famille de ransomware baptisée Prinz Eugen, découverte lors d’une investigation client le 11 mai 2026. La première mention publique de ce groupe remonte au 16 avril 2026, via un post sur les réseaux sociaux signalant l’apparition d’un portail de fuite visant Standard Bank Group, une institution financière majeure en Afrique du Sud. 🦠 Caractéristiques techniques du malware L’encrypteur présente plusieurs caractéristiques techniques notables : ...

🔍 Contexte Source : BleepingComputer, publié le 20 juin 2026. L’analyse technique est issue de Threatdown (branche entreprise de Malwarebytes). L’article décrit une nouvelle opération ransomware nommée Prinz Eugen, identifiée lors d’investigations sur des incidents réels. 🎯 Accès initial et persistance L’accès initial est vraisemblablement obtenu via des identifiants RDP volés Le payload principal, servertool.exe, est téléchargé et exécuté manuellement (style hands-on-keyboard) L’outil RMM légitime RemotePC est utilisé pour maintenir l’accès Un compte administrateur backdoor assure la persistance Les attaquants privilégient les outils légitimes (RMM, living-off-the-land) 🔐 Stratégie de chiffrement Malware développé en Go Priorise les fichiers les plus récemment modifiés ; en cas d’horodatage identique, traitement par ordre alphabétique Parcours récursif des répertoires sans limite de profondeur ni exclusion Extension utilisée pour les fichiers chiffrés : .prinzeugen Algorithme de chiffrement : ChaCha20-Poly1305 avec clé maître de 32 octets Dérivation de clé via Argon2id, SHA-256 et HKDF-SHA256 Vecteur d’initialisation aléatoire par fichier Traitement par blocs de 1 Mo, intégrité vérifiée via SHA-256 Avec le flag --delete : vérification de déchiffrabilité avant suppression du fichier original La clé de chiffrement est écrasée avec des zéros, le garbage collector est forcé, puis le binaire s’auto-supprime 🚫 Absence de note de rançon Aucune note de rançon déposée sur le système, aucun changement de fond d’écran Les communications de rançon se font hors-bande (email direct, contact téléphonique, portail dark web) Cette tactique réduit les artefacts forensiques et complique la détection automatisée de la phase d’extorsion 👥 Victimes et modèle opérationnel Pas de modèle RaaS, pas de recrutement d’affiliés identifié Au moins 5 victimes identifiées par Threatdown Le site de fuite liste actuellement 3 victimes Les attaques combinent chiffrement et/ou exfiltration de données Dans le cas de Standard Bank, une rançon de 1 BTC a été demandée et refusée 📄 Type d’article Analyse technique publiée par BleepingComputer sur la base d’un rapport Threatdown, visant à documenter les TTPs, la mécanique de chiffrement et les IoCs d’une nouvelle opération ransomware. ...

🗓️ Contexte Source : SecurityWeek, article de Eduard Kovacs publié le 15 juin 2026. L’incident a été rendu public le 10 juin 2026 par Mackay Sugar, deuxième producteur de sucre brut d’Australie, opérant trois moulins de traitement de canne à sucre dans le Queensland. 🎯 Incident Mackay Sugar a été victime d’une attaque ransomware menée par le groupe The Gentlemen (suivi par Microsoft sous le nom Storm-2697). L’attaque a provoqué l’arrêt d’au moins deux des trois moulins de l’entreprise, perturbant les opérations de broyage, d’approvisionnement en canne et de logistique. ...

🎯 Contexte Analyse publiée le 20 juin 2026 par Cyber Press, basée sur des recherches d’ESET, Group-IB et PRODAFT, portant sur la suite EDR killer du groupe Gentlemen, un opérateur de ransomware-as-a-service (RaaS) apparu fin 2025 et classé parmi les cinq groupes ransomware les plus actifs au T1 2026. 👤 Acteurs et structure Le groupe a été fondé par un acteur connu sous le pseudonyme hastalamuerte, ancien affilié de Qilin, avec des liens documentés vers LockBit, Embargo, Medusa et BlackLock. Brian Krebs a publié des éléments d’identification réelle de cet acteur le 10 juin 2026. Le groupe propose à ses affiliés une part de revenus de 90%. ...

📰 Contexte Source : BankInfoSecurity / HealthInfoSec, publié le 18 juin 2026. L’article couvre le règlement judiciaire proposé dans l’affaire de la violation de données MCNA Dental, suite à une attaque ransomware LockBit survenue en 2023. 🎯 L’incident En mars 2023, le groupe LockBit a revendiqué une attaque ransomware contre MCNA Dental (Managed Care of North America), l’un des plus grands prestataires de soins dentaires pour enfants aux États-Unis, filiale de UnitedHealth Group depuis novembre 2020. Les attaquants ont exfiltré 700 gigaoctets de données confidentielles et exigé une rançon de 10 millions de dollars. ...

🗞️ Contexte Source : Blick.ch (ATS – Agence télégraphique suisse), publié le 21 juin 2026. L’article rapporte les suites institutionnelles et politiques d’une cyberattaque par ransomware ayant ciblé la filiale américaine de Ruag, entreprise d’armement appartenant à la Confédération suisse. 🎯 Incident Le groupe cybercriminel Akira a attaqué les systèmes informatiques de Ruag LLC, filiale basée en Virginie (États-Unis), à l’automne 2025. L’attaque a impliqué une double extorsion : vol de données, chiffrement, puis menace de publication sur le dark web en échange d’une rançon. ...

🔍 Contexte Publié le 18 juin 2026 par ESET Research (Jakub Souček), cet article présente les résultats d’une investigation de plusieurs mois sur le groupe Gentlemen, un gang ransomware-as-a-service (RaaS) apparu fin 2025 et devenu l’un des plus actifs au premier trimestre 2026. L’analyse a été enrichie par une fuite de données interne du groupe survenue en mai 2026. 🎭 Profil du groupe Gentlemen Fondé par l’alias hastalamuerte (également connu sous zeta88), ancien affilié mécontent de Qilin Membres précédemment affiliés à Qilin, Embargo, LockBit, Medusa et BlackLock Offre une part de 90% aux affiliates Utilise la double extorsion (chiffrement + menace de fuite) Encrypteur Go (Windows, Linux) et variante ESXi en C Victimologie atypique : Asie du Sud-Est, Amérique du Sud, Europe de l’Ouest (pas de focus US) Sélection des victimes basée sur les mauvaises configurations FortiGate 🛠️ Arsenal EDR Killers GentleKiller (outil maison) 8 variantes documentées, chacune abusant d’un driver différent Cible plus de 400 processus mappés à 48 produits de sécurité Déployé dans le répertoire GentlemenCollection Caractéristiques communes : strings cohérentes, terminaison périodique de processus en boucle, obfuscation de code identique Intégration rapide de nouveaux BYOVD PoCs (en quelques jours) Drivers abusés par GentleKiller : eb.sys (rootkit Kaspersky PoC) nseckrnl.sys (NSecsoft NSecKrnl) GameDriverX64.sys (anti-cheat Valorant) stpm_old.sys / stpm_new.sys (Safetica ProcessMonitor) dmx.sys (Zemana WatchDog Antimalware) 360netmon_wfp.sys (Qihoo 360) IMFForceDelete (IObit ForceDelete) G11.sys / PoisonX rootkit Outils tiers intégrés : HexKiller : précédemment associé au gang Warlock, abuse googleApiUtil64.sys (Baidu Antivirus BdApi) ThrottleBlood : observé chez MedusaLocker et DragonForce, abuse ThrottleBlood.sys (TechPowerUp LLC) HavocKiller : divulgué publiquement par Huntress le 19 mars 2026, utilisé dès le 23 janvier 2026, abuse havoc.sys (Huawei Audio driver) 🛡️ Stratégie d’évasion défensive Protection binaire avancée : Enigma ou Themida Usurpation d’identité de vendors de sécurité (noms de fichiers, version info, icônes, certificats copiés invalides) Suffixes de nommage standardisés : 1 (Enigma), 2 (Themida), Light (aucun packer), Clear (aucune protection) 🔑 OxideHarvest (credential stealer) Écrit en Rust, attribué à l’affilié quant (outil nommé buildx641) Vole les credentials de navigateurs Chromium et Gecko Paramètres CLI : -i (hosts), -u (username), -p (password), -t (threads), -o (output) Emballé dans différents packers avec usurpation d’identité similaire 📋 Type d’article Publication de recherche technique par ESET Research, visant à fournir des insights exploitables sur les TTPs, IoCs et le framework EDR killer du groupe Gentlemen pour les équipes CTI et défensives. ...

🌐 Contexte Publié le 17 juin 2026 par l’équipe Proofpoint Threat Research, cet article détaille les résultats de l’Operation Endgame ciblant le groupe cybercriminel TA569, opérateur du malware SocGholish (alias FakeUpdates), suivi par Proofpoint depuis 2018. 🚔 Action de forces de l’ordre Le 18 juin 2026, une action coordonnée impliquant les Pays-Bas (NHCTU), le Canada (RCMP), les États-Unis (FBI) et l’Allemagne (BKA), avec le soutien d’Europol, a permis : La saisie de plus de 100 serveurs et domaines dans le monde entier L’assainissement de 14 971 sites web compromis La perturbation du botnet SocGholish Proofpoint a contribué en fournissant des informations aux autorités. ...