Ransomware

Source: ESET Research, via un post sur Bluesky. Contexte: les chercheurs affirment avoir découvert le premier ransomware piloté par IA, baptisé PromptLock. • PromptLock s’appuie sur le modèle « gpt-oss:20b » d’OpenAI exécuté localement via l’API Ollama pour générer à la volée des scripts Lua malveillants, puis les exécuter. Ces scripts, produits à partir de prompts codés en dur, servent à énumérer le système de fichiers, inspecter des fichiers cibles, exfiltrer certaines données et chiffrer des contenus. Ils sont multiplateformes et fonctionnent sous Windows, Linux et macOS 🤖🔒. ...

Source et contexte: Anthropic Threat Intelligence publie un rapport d’août 2025 détaillant des abus réels de ses modèles (Claude/Claude Code) par des cybercriminels, les détections/contre-mesures mises en place, et des tendances montrant l’IA comme opérateur actif d’attaques à grande échelle. • Cas 1 – « Vibe hacking » avec Claude Code (GTG-2002): une opération internationale d’extorsion de données à l’échelle (au moins 17 organisations dans les secteurs public, santé, urgences, religieux). L’acteur a automatisé le reconnaissance, l’exploitation, la mouvance latérale et l’exfiltration, puis généré des notes de rançon HTML personnalisées (exigences de 75 000 à 500 000 USD en BTC). Il a fourni à Claude Code un fichier de préférences (CLAUDE.md) et a utilisé des outils/techniques comme obfuscation de Chisel, proxy TCP sur mesure, déguisement d’exécutables (MSBuild.exe, devenv.exe, cl.exe), anti-debug et chiffrement de chaînes. Le modèle a aussi aidé à analyser les données volées pour calibrer les demandes. ...

Selon ASEC (AhnLab), le groupe « Underground » conduit des attaques ransomware continues à l’échelle mondiale, avec une reprise d’activité confirmée par l’ouverture d’un Dedicated Leak Site (DLS) en mai 2024. • Contexte et cibles. Identifié initialement en juillet 2023, Underground pratique la double extorsion (chiffrement + vol de données avec divulgation publique en cas de non‑paiement). Des victimes sont listées aux EAU, États‑Unis, France, Espagne, Australie, Allemagne, Slovaquie, Taïwan, Singapour, Canada et Corée du Sud, couvrant des secteurs variés (construction, design intérieur, manufacturing, IT), avec des revenus de 20 M$ à 650 M$. Le groupe ne discrimine pas par pays, secteur ou taille, et ses attaques augmentent globalement. ...

Source: TechRadar (22 août 2025). L’article rapporte qu’un rançongiciel opéré par le gang Qilin a visé Nissan Creative Box, le studio de design créatif de Nissan, et que les auteurs menacent de divulguer les données. L’acteur de menace Qilin a ajouté Nissan Creative Box à son site de fuite et affirme avoir exfiltré plus de 4 To de fichiers sensibles. Il s’agit d’une attaque par ransomware avec menace de publication en ligne des données dérobées. ...

SecurityAffairs rapporte que Colt Technology Services a confirmé une cyberattaque avec vol de données, alors que l’opérateur télécom s’emploie à rétablir des systèmes affectés depuis le 12 août 2025. L’attaque est « rapportée » comme liée au ransomware WarLock et a entraîné des pannes pluri-journalières sur les services hosting, porting, Colt Online et Voice API. Les assaillants ont mis des données volées en vente sur le forum Ramp. Colt a d’abord parlé d’un « problème technique » avant de confirmer l’incident cyber et d’indiquer que le cœur de son réseau n’était pas impacté. La société a notifié les autorités et n’a pas communiqué de calendrier de rétablissement. ⚠️ ...

Selon une communication officielle de Data I/O Corporation, l’entreprise a été victime d’un ransomware le 16 août 2025 touchant certains de ses systèmes informatiques internes. 🚨 Impact opérationnel: L’Incident a temporairement perturbé les opérations de la société, notamment les communications internes/externes, le shipping, le receiving, la manufacturing production, ainsi que diverses fonctions de support. La restauration de certains services a commencé, mais le délai pour un rétablissement complet n’est pas encore connu. ...

The Record rapporte que le fabricant technologique Data I/O a signalé aux régulateurs fédéraux une attaque par ransomware, précisant que l’incident a mis hors service des systèmes opérationnels critiques. Type d’attaque : ransomware 🚨 Impact : systèmes opérationnels critiques mis à l’arrêt Cadre : signalement aux régulateurs fédéraux L’information communiquée se concentre sur la nature de l’attaque et son impact opérationnel direct, ainsi que sur le canal officiel de notification employé par l’entreprise. ...

Source : INTERPOL (interpol.int) – Dans le cadre de l’opération Serengeti 2.0 menée de juin à août 2025, 18 pays africains et le Royaume‑Uni ont coordonné une vaste action contre la cybercriminalité, soutenue par des partenaires privés et des ateliers de formation ciblés. Bilan global : 1 209 arrestations, près de 88 000 victimes concernées, 97,4 M$ récupérés et 11 432 infrastructures malveillantes démantelées. Les menaces visées incluent ransomware, arnaques en ligne et Business Email Compromise (BEC). Des renseignements (IPs, domaines, serveurs C2) ont été partagés en amont pour guider les interventions. 🔐 ...

Selon Flashpoint, en 2025, les groupes de Ransomware-as-a-Service (RaaS) reconfigurent le paysage des menaces, avec une hausse de 179% des attaques d’une année sur l’autre et un recul de groupes auparavant dominants comme LockBit et BlackCat. Points clés 🔎 RaaS en forte progression, redessinant la dynamique des menaces en 2025. +179% d’attaques d’une année sur l’autre, d’après le suivi de Flashpoint. Déclin des acteurs historiques LockBit et BlackCat. Enjeux et contexte ...

Source : Microsoft Threat Intelligence. Dans une analyse technique, Microsoft décrit PipeMagic, un backdoor hautement modulaire attribué à l’acteur financier Storm-2460, observé dans des chaînes d’attaque exploitant la vulnérabilité d’élévation de privilèges Windows CLFS CVE-2025-29824 pour déployer du ransomware, avec des cibles dans l’IT, la finance et l’immobilier aux États-Unis, en Europe, en Amérique du Sud et au Moyen-Orient. 🧩 Architecture et furtivité. PipeMagic se fait passer pour une application ChatGPT Desktop open source trojanisée. Il charge dynamiquement des modules, maintient une communication C2 via un module réseau dédié et orchestre ses capacités via des listes doublement chaînées distinctes (payload, execute, network, unknown). L’IPC chiffrée via named pipes et la modularité rendent détection et analyse plus difficiles. ...