Ransomware

🗓️ Contexte Article publié par SecurityWeek le 16 mars 2026, couvrant les suites de la campagne d’attaque ciblant les clients d’Oracle E-Business Suite (EBS), revendiquée par le groupe Cl0p. 🎯 Nature de l’attaque Le groupe Cl0p a exploité des vulnérabilités zero-day dans Oracle E-Business Suite pour accéder aux données stockées par des organisations clientes, puis a utilisé ces données à des fins d’extorsion. La communauté cybersécurité associe cette opération au cluster FIN11, qui serait le moteur opérationnel derrière la marque publique Cl0p. ...

Amazon Threat Intelligence a découvert qu’Interlock ransomware exploitait CVE-2026-20131 dans Cisco Secure Firewall Management Center comme zero-day depuis le 26 janvier 2026, soit 36 jours avant la divulgation publique. 🔍 Contexte Le 21 mars 2026, Amazon Threat Intelligence a publié sur le blog de sécurité AWS une analyse technique détaillée d’une campagne active du groupe Interlock ransomware exploitant CVE-2026-20131, une vulnérabilité critique dans Cisco Secure Firewall Management Center (FMC) Software. ...

Le groupe ransomware LeakNet ajoute ClickFix via des sites légitimes compromis et un loader Deno en mémoire comme nouvelles méthodes d’accès initial, tout en conservant une chaîne post-exploitation identique. 🔍 Contexte Publié le 21 mars 2026 par ReliaQuest (auteurs : Joseph Keyes et Daxton Wirth), ce rapport de threat intelligence analyse les évolutions tactiques du groupe ransomware LeakNet, qui intensifie ses opérations en adoptant de nouvelles méthodes d’accès initial. 🎯 Nouvelles méthodes d’accès initial LeakNet a ajouté deux nouvelles techniques à son arsenal : ...

Trend Micro dissèque une attaque du groupe Warlock combinant mouvement latéral, tunneling multi-outils, BYOVD via NSecKrnl.sys et déploiement de ransomware par GPO. 🔍 Contexte Cet article publié le 21 mars 2026 par Trend Micro Research constitue une analyse technique approfondie d’une campagne d’attaque attribuée au groupe Warlock. Il documente une chaîne d’attaque complète allant de l’accès initial jusqu’au déploiement de ransomware à l’échelle du domaine Active Directory. 🚪 Accès initial et mouvement latéral Suivant l’accès initial, les acteurs de la menace ont réalisé un mouvement latéral extensif via des outils d’administration légitimes et de l’abus de credentials : ...

Selon Inside IT (Suisse), la commune de Matten, près d’Interlaken, a été visée par une cyberattaque durant le week‑end des 14 et 15 mars 2026. L’attaque a entraîné le chiffrement de certaines données, qui ont pu être intégralement restaurées 🔐. Les premières analyses indiquent qu’aucune donnée n’a été volée. Les systèmes particulièrement sensibles — dont le registre des habitants et des étrangers, les systèmes financiers et le système de gestion des affaires — n’ont à aucun moment été affectés 🛡️. Le fonctionnement de l’administration a été assuré, la mairie étant de toute façon fermée le week‑end. ...

Source et contexte: ANSSI — Le « Panorama de la cybermenace 2025 » (publication ANSSI) présente les tendances observées en France et en Europe : menaces persistantes, brouillage entre acteurs étatiques et cybercriminels, et forte pression sur secteurs publics et privés. Niveau de menace et secteurs touchés. En 2025, 3 586 événements de sécurité traités (−18% vs 2024) dont 1 366 incidents (stable). Quatre secteurs concentrent 76% des incidents: éducation & recherche (34%), ministères & collectivités (24%), santé (10%), télécoms (9%). Les frontières entre acteurs étatiques et cybercriminels s’érodent, complexifiant l’imputation et la détection. ...

Contexte: IBM X-Force publie une analyse détaillée d’un nouveau backdoor/C2 baptisé “Slopoly”, vraisemblablement généré par un LLM et observé lors d’une attaque ransomware opérée par le cluster financier Hive0163. – Découverte et portée IBM X-Force a identifié un script PowerShell client d’un framework C2 inédit, nommé Slopoly, déployé en phase tardive d’une intrusion ransomware attribuée à Hive0163 (acteur financier déjà lié à InterlockRAT, NodeSnake, JunkFiction, Interlock ransomware). Slopoly a permis une persistance > 1 semaine sur un serveur compromis. L’analyse souligne l’adoption croissante de l’IA par les cybercriminels, ouvrant une phase d’« armes éphémères » où du malware généré rapidement abaisse fortement les barrières à l’entrée. ...

Source : INTERPOL — Dans le cadre de l’Operation Synergia III (18 juillet 2025 – 31 janvier 2026), coordonnée par INTERPOL depuis Lyon et impliquant 72 pays et territoires, les forces de l’ordre ont démantelé plus de 45 000 adresses IP et serveurs malveillants, procédé à 94 arrestations (110 personnes toujours sous enquête) et saisi 212 appareils électroniques et serveurs. 🚔🌐 L’opération visait des activités de phishing, malware et ransomware. INTERPOL a transformé des données en renseignements opérationnels, facilité la collaboration transfrontalière et apporté un appui tactique, conduisant à des perquisitions ciblées et à la perturbation d’activités cybercriminelles. Le directeur de la Cybercrime d’INTERPOL, Neal Jetton, a souligné l’escalade de la sophistication de la cybercriminalité en 2026 et l’efficacité de la coopération mondiale. ...

Selon des données publiées jeudi par la National Police Agency (NPA) du Japon, le pays a enregistré en 2025 un volume élevé d’attaques par ransomware, marquant une progression par rapport à 2024. 📈 Bilan 2025: 226 cas confirmés de ransomware, soit le deuxième total annuel le plus élevé et +4 par rapport à l’année précédente. 🏢 Victimes: Environ 60 % des victimes sont des petites et moyennes entreprises (PME). Des grandes entreprises ont également subi des dommages graves, notamment Asahi Group Holdings Ltd. (agroalimentaire/boissons) et Askul Corp. (fournitures de bureau et ménagères). ...

Selon The Register, ELECQ, fabricant de bornes de recharge intelligentes pour véhicules électriques, a informé ses clients qu’un rançongiciel a visé une partie de son infrastructure cloud, entraînant le chiffrement et la copie de données d’utilisateurs. Le 7 mars, ELECQ a détecté une activité inhabituelle sur sa plateforme AWS. L’enquête interne a mis en évidence une attaque par ransomware contre certains segments de l’infrastructure. L’entreprise a envoyé un avis aux clients, les prévenant que leurs données personnelles pourraient avoir été dérobées et confirmant que des données hébergées dans le cloud ont été chiffrées et copiées. ⚠️🔒 ...