Ransomware

Cisco Talos (Threat Spotlight) publie une analyse d’une campagne de ransomware DeadLock menée par un acteur financier qui combine techniques BYOVD, scripts PowerShell et post-exploitation pour neutraliser la défense et chiffrer des environnements Windows. • Point clé: l’attaque s’appuie sur un Bring Your Own Vulnerable Driver (BYOVD) et un loader inédit pour exploiter la vulnérabilité CVE-2024-51324 du driver Baidu Antivirus (BdApiUtil.sys) afin de terminer des processus EDR au niveau noyau. Le driver légitime est déposé avec un loader (noms observés: “EDRGay.exe” et “DriverGay.sys”) dans le dossier “Videos”. Le loader ouvre un handle sur “\.\BdApiUtil” (CreateFile) puis envoie un IOCTL 0x800024b4 (fonction 0x92D) via DeviceIoControl, ce qui conduit le driver vulnérable à exécuter ZwTerminateProcess() sans vérification de privilèges. ...

Source et contexte : FinCEN.gov (U.S. Department of the Treasury – FinCEN) publie une Financial Trend Analysis sur les incidents de ransomware observés dans les déclarations BSA entre 2022 et 2024, totalisant plus de 2,1 Md$ de paiements. • Points clés chiffrés 💰📈 2023 enregistre un pic avec 1 512 incidents et 1,1 Md$ de paiements (+77% vs 2022). 2024 observe un repli à 1 476 incidents et 734 M$ de paiements, après la perturbation par les forces de l’ordre de deux groupes de ransomware. Médiane des transactions: 124 097 $ (2022); 175 000 $ (2023); 155 257 $ (2024). La plage la plus courante est < 250 000 $. Sur janv. 2022 – déc. 2024: 7 395 rapports BSA relatifs à 4 194 incidents, pour > 2,1 Md$. À comparer aux 3 075 rapports et ≈ 2,4 Md$ sur 2013–2021. • Secteurs les plus touchés 🏭🏦🏥 ...

Selon Reuters, Marquis (fintech et fournisseur texan de marketing digital et physique) a signalé via un dépôt auprès du procureur général du Maine qu’une attaque par ransomware survenue en août a permis à des acteurs malveillants d’accéder à des fichiers contenant des données clients. 🔎 L’entreprise indique avoir d’abord détecté une activité suspecte sur son réseau, avant de confirmer qu’il s’agissait d’un incident impliquant un ransomware. 🏦 Impact et parties concernées : à la suite de cette confirmation, Marquis notifie des banques et credit unions américaines potentiellement affectées par l’accès non autorisé aux fichiers de données clients. ...

Selon 01net (source mentionnée: Taipei Times), Asus a annoncé avoir été touché par une cyberattaque via l’un de ses fournisseurs, revendiquée par le gang d’extorsion russe Everest, avec vol de données confidentielles concernant ses smartphones. L’entreprise précise que des cybercriminels ont dérobé une partie du code source des caméras des téléphones Asus 📷. Il s’agit du logiciel qui transforme les données brutes en photos ou vidéos. Le groupe criminel revendique jusqu’à 1 To de données, incluant des informations confidentielles sur les smartphones de la marque. ...

Source : BleepingComputer (Sergiu Gatlan) — Inotiv, société américaine de recherche sous contrat (CRO), a confirmé un incident de ransomware en août 2025 et envoie des notifications de violation à 9 542 personnes, après avoir rétabli l’accès à ses réseaux et systèmes. 🔐 L’entreprise indique qu’un acteur malveillant a accédé sans autorisation à ses systèmes entre le 5 et le 8 août 2025. L’attaque a perturbé les opérations, mettant hors ligne certains réseaux et systèmes, dont des bases de données et des applications internes. Inotiv a déclaré avoir restauré la disponibilité et l’accès aux environnements impactés. ...

TechCrunch (Zack Whittaker) rapporte que la fintech texane Marquis, prestataire marketing et conformité pour plus de 700 banques et credit unions, notifie des dizaines d’établissements après une attaque de ransomware survenue le 14 août 2025, révélée via des avis de violation de données déposés auprès de plusieurs États américains. L’impact est significatif : au moins 400 000 personnes sont confirmées affectées d’après les dépôts légaux dans l’Iowa, le Maine, le Texas, le Massachusetts et le New Hampshire, avec au moins 354 000 résidents texans touchés. Les données volées incluent des noms, dates de naissance, adresses postales, ainsi que des informations financières (numéros de compte bancaire, de cartes de débit et de crédit) et des numéros de Sécurité sociale (SSN). Marquis indique que les clients de la Maine State Credit Union comptent pour une part notable des notifications dans le Maine. Le nombre de personnes affectées devrait augmenter à mesure que d’autres notifications seront publiées. 🔐 ...

Selon Europol, une opération menée du 24 au 28 novembre 2025 à Zurich (Suisse) a visé le service de mixing de cryptomonnaies « Cryptomixer », suspecté de faciliter la cybercriminalité et le blanchiment d’argent. L’action, soutenue par la J-CAT, a conduit à la saisie de trois serveurs, du domaine cryptomixer.io, de plus de 12 To de données et de plus de 25 M€ en Bitcoin, avec affichage d’une bannière de saisie sur le site. 🚔 ...

Selon un communiqué officiel du Canton de Zurich (Staatsanwaltschaft II) publié sur le site zh.ch le 1er décembre 2025, une opération coordonnée a permis de localiser et démanteler l’infrastructure serveur du Bitcoin mixer « cryptomixer.io » opérée dans le canton de Zurich. 🚔 Les enquêteurs de la Stadt- et Kantonspolizei Zürich, sous la direction de la Staatsanwaltschaft II, ont identifié puis mis hors ligne, fin novembre 2025, l’infrastructure et la domaine du service. Le capital d’exploitation d’environ 23 millions de francs suisses en Bitcoin a été saisi, et 12 To de données ont été sécurisés pour analyse. ...

Selon Unit 42 (Palo Alto Networks), des modèles de langage malveillants « sans garde-fous » comme WormGPT 4 et KawaiiGPT sont désormais commercialisés ou librement accessibles, permettant de générer à la chaîne des leurres de phishing/BEC et du code de malware, matérialisant le dilemme « dual-use » de l’IA. • Contexte et définition. L’article qualifie de LLM malveillants les modèles entraînés/affinés pour des usages offensifs avec des garde-fous éthiques supprimés. Ils sont marketés sur des forums et Telegram, capables de générer des e-mails de phishing, écrire du malware (y compris polymorphe) et automatiser la reconnaissance, abaissant drastiquement la barrière de compétence et compressant les délais d’attaque. 🚨 ...

Selon une annonce conjointe de l’OFAC (U.S. Department of the Treasury), du DFAT australien et du FCDO britannique, des sanctions coordonnées visent l’écosystème d’hébergement bulletproof (BPH) facilitant des opérations de ransomware et autres cybercrimes. 🚫💻 Les autorités sanctionnent Media Land, un prestataire BPH basé en Russie, pour son rôle dans le soutien à des opérations de ransomware et à d’autres formes de cybercriminalité. L’OFAC désigne également trois membres de la direction de Media Land et trois sociétés sœurs, en coordination avec le FBI. ...