Ransomware

Selon un billet de l’équipe HvS IR, un incident de ransomware mené par le groupe INC Ransom a tiré parti d’une vulnérabilité FortiGate de janvier 2025 (FG-IR-24-535), dans un contexte d’attaques typiques, de vulnérabilités connues et de mauvaises configurations. Faits saillants: Les assaillants ont délibérément détruit des données. Ils ont fourni de fausses informations lors des négociations 💬. L’environnement a été entièrement chiffré en 48 heures après l’accès initial 🔐. Vecteur et conditions d’exploitation: ...

Selon canadianrecycler.ca (Toronto, Ontario), une attaque survenue le 6 août au soir a visé des entreprises utilisant le logiciel d’accès à distance SimpleHelp, touchant environ 300 recycleurs automobiles en Amérique du Nord, dont au moins quatre au Canada. • Type d’attaque: ransomware. Les victimes ont été verrouillées hors de leurs bases de données et ont reçu des notes de rançon exigeant un paiement pour restaurer l’accès. Parmi les entreprises nommées, Plazek Auto Recycling (près de Hamilton, Ontario) a découvert au matin des ordinateurs verrouillés et 30 copies identiques d’une note de rançon imprimées. L’entreprise n’a pas payé, s’appuyant sur des sauvegardes mises en place après un incident similaire en 2019, ce qui lui a permis de nettoyer le malware et de récupérer toutes ses données sauf quelques heures d’enregistrements. D’autres entreprises canadiennes citées incluent Millers Auto Recycling (Fort Erie, Ontario) et Marks Parts (Ottawa), qui ont également pu restaurer l’accès aux données. ...

Selon Numerama, le Muséum national d’Histoire naturelle (MNHN) de Paris fait face depuis fin juillet 2025 à une cyberattaque « massive » paralysant une partie de ses réseaux et outils de recherche. Révélé le 31 juillet par La Tribune, l’incident n’était toujours pas résolu au 12 août, selon le président Gilles Bloch, qui ne peut pas encore fixer de calendrier de retour à la normale. L’impact est majeur pour la communauté scientifique : des bases de données essentielles, utilisées par les chercheurs du Muséum et du centre PATRINAT, sont inaccessibles, perturbant fortement la recherche en sciences naturelles et biodiversité. 🧬 ...

Le prestataire Francelink a publie sur sa page de status (status.francelink.net) un rapport d’incident détaillant la cyberattaque subie le 28 juillet 2025 à 20h30. 🔐 Détails de l’attaque Le rapport attribue l’attaque au groupe AKIRA. Deux actions coordonnées ont été menées : chiffrement des données sur les serveurs de production et chiffrement des serveurs de sauvegarde. Les éléments disponibles indiquent une probable extraction de données conforme au mode opératoire du groupe. Environ 93 % des serveurs ont été affectés, impactant la quasi-totalité des services et des clients. ...

Selon SuspectFile (SuspectFile.com), cette interview présente Securotrop, un groupe de ransomware apparu début 2025 qui opère comme affilié RaaS sur l’écosystème Qilin, avec une image séparée et une approche sélective centrée sur l’exploitation des données exfiltrées. • Positionnement et cible: Securotrop se veut distinct par une focalisation sur l’analyse des documents exfiltrés (états financiers, P&L, listes d’actifs, clients, documents opérationnels). Le groupe affirme éviter les secteurs santé et gouvernement pour viser des cibles commerciales et maintient un blog .onion indépendant listant actuellement 10 victimes au format texte. L’objectif est de bâtir une réputation de constance dans la tenue des promesses de publication/leak. 🔎 ...

Selon Arctic Wolf, Interlock est un groupe de ransomware apparu en septembre 2024, actif en Amérique du Nord et en Europe, menant des campagnes opportunistes de double extorsion sans modèle RaaS classique. Des attaques marquantes incluent la fuite chez DaVita (plus de 200 000 patients affectés) et l’attaque ransomware contre la ville de St. Paul. 🎯 Le mode opératoire s’appuie sur des sites compromis hébergeant de faux mises à jour qui incitent les victimes, via l’ingénierie sociale ClickFix, à exécuter des commandes PowerShell malveillantes. Le backdoor PowerShell est obfusqué, assure une persistance par modifications de registre, et communique avec l’infrastructure de C2 en abusant du service TryCloudflare. ...

Huntress — Le fournisseur a publié un rapport décrivant un incident impliquant le ransomware KawaLocker (KAWA4096), une variante apparue en juin 2025, dont l’attaque a été détectée et contenue avant un impact organisationnel étendu. Le scénario débute par une compromission RDP via un compte compromis. Les attaquants déploient des utilitaires pour désactiver les outils de sécurité (notamment kill.exe et HRSword) et chargent des drivers noyau (sysdiag.sys et hrwfpdr.sys de Beijing Huorong Network Technology). Une énumération réseau est menée avec advancedportscanner.exe, suivie de tentatives de mouvement latéral via PsExec. ...

Selon Flashpoint (billet de blog), Scattered Spider est un collectif de cybercriminels principalement composé de jeunes adultes US/UK qui s’impose par des campagnes sophistiquées d’ingénierie sociale et des opérations de ransomware en double extorsion. Le groupe cible notamment les secteurs des services financiers, de la restauration et du retail, avec des attaques menées par vagues, misant davantage sur les faiblesses humaines que purement techniques. Leur chaîne d’attaque commence par de la social engineering (MITRE ATT&CK T1566) — vishing 📞, smishing, et attaques d’épuisement MFA — pour obtenir un accès initial, suivi de collecte d’identifiants à l’aide d’info-stealers comme Raccoon et Vidar. Ils abusent d’outils RMM légitimes (TeamViewer, AnyDesk, ScreenConnect) pour la persistance et les mouvements latéraux, et déploient des malwares personnalisés tels que Spectre RAT 🕷️, tout en s’appuyant sur des VPN/proxys cloud pour masquer leur infrastructure. ...

Selon Cofense, une nouvelle campagne de rançongiciel exploite des comptes expéditeur compromis pour distribuer LeeMe en se faisant passer pour des outils légitimes SAP Ariba. Les victimes reçoivent des liens vers des archives protégées par mot de passe hébergées sur GoFile et sont induites en erreur par une fausse interface d’installation SAP Ariba et des instructions incitant à désactiver les protections de sécurité. Le malware combine plusieurs capacités offensives : chiffrement AES-256 de plus de 35 types de fichiers avec extensions aléatoires, keylogging (via la bibliothèque pynput), collecte d’identifiants à partir de fichiers contenant des mots-clés sensibles, et mécanismes de persistance (entrées d’exécution automatique et tâches planifiées). Il met aussi en œuvre un contournement de Windows Defender et la mise en place d’accès à distance via serveurs SSH/WINRM. ...

Source: Huntress — Contexte: billet de blog décrivant un incident récent où le ransomware KawaLocker (KAWA4096) a été déployé dans un environnement client, avec chronologie, outils utilisés et «breadcrumbs» de détection. Huntress a observé début août un accès initial via RDP à l’aide d’un compte compromis (08/08). Le threat actor a déployé kill.exe et l’outil HRSword (Huorong) pour surveiller le système et identifier/neutraliser des outils de sécurité (usage de tasklist.exe | find). Des services Windows associés à ces solutions ont ensuite crashé. Deux drivers noyau signés Huorong — sysdiag.sys et hrwfpdr.sys — ont été installés puis supprimés via sc.exe (sc start/stop/delete), confirmant l’usage d’outils liés à Beijing Huorong Network Technology. ...