Ransomware

Source: Inside IT (article de Hans Joerg Maron). L’IT service provider et cloud provider suisse Unico Data, fondé en 1991 à Münsingen, annonce l’arrêt de ses activités fin 2025, conséquence à long terme d’une attaque par ransomware subie en mai 2023. En mai 2023, Unico Data a été visé par le groupe Play. Quelques semaines plus tard, la bande a publié des données de clients d’Unico sur le darknet. L’entreprise a communiqué de manière très transparente sur l’incident, ce qui lui a valu un Courage Award, et son CEO de l’époque a témoigné dans un podcast d’Inside IT. ...

Selon BleepingComputer, Synnovis, un important prestataire britannique de services de pathologie, notifie les fournisseurs de soins qu’une violation de données s’est produite après une attaque par ransomware survenue en juin 2024, entraînant le vol de certaines données de patients. Contexte Synnovis, prestataire clé de services de pathologie pour plusieurs hôpitaux londoniens (via un partenariat SYNLAB – Guy’s & St Thomas’ – King’s College Hospital), a subi une attaque ransomware majeure en juin 2024, fortement perturbant les services du NHS à Londres. ...

Source : Secure Annex — billet de blog technique décrivant la découverte d’une extension Visual Studio Code publiquement listée sur le Visual Studio Marketplace, implémentant des mécanismes de type ransomware et un canal de C2 via GitHub. • Découverte et nature de la menace. L’extension « suspicious VSX » (éditeur « suspicious publisher », ID suspublisher18.susvsex) intègre des comportements de ransomware et d’extorsion. Le code montre des signes de génération via IA (« vibe coded ») et comprend notamment des outils de déchiffrement et le serveur C2 accidentellement inclus dans le paquet publié. ...

Selon un article du journal 24heures, le groupe de ransomware Clop a revendiqué sur le dark web une offensive visant notamment Logitech, à qui il impose un ultimatum de 24 heures pour éviter la divulgation de données volées. Le groupe helvético-américain basé à Lausanne «ne souhaite pas faire de commentaire à ce stade». Clop affirme détenir des «masses de données» et menace de les publier si aucune rançon n’est payée. Un expert du dark web cité estime que Clop «n’a pas l’habitude de bluffer» et évoque la possibilité que Logitech cherche à gagner du temps pour négocier. ...

Source: Reuters — Le Washington Post a déclaré être parmi les victimes d’une brèche liée à la plateforme Oracle E‑Business Suite, tandis que le groupe de ransomware CL0P l’a listé sur son site comme l’un de ses victimes. Le journal a indiqué avoir été impacté « par la brèche de la plateforme Oracle E‑Business Suite ». CL0P a revendiqué l’incident sur son site. Le groupe n’a pas répondu aux demandes de commentaires citées par Reuters. ...

Selon un billet de blog technique publié le 8 novembre 2025, l’article explore en profondeur la souche de rançongiciel « Midnight ». L’analyse détaille la « généalogie » de Midnight à partir de Babuk, en décrivant son anatomie technique et ses caractéristiques clés. Elle met l’accent sur les indicateurs critiques d’infection (IOCs) permettant d’identifier une compromission. L’élément central de la publication est un guide pratique de déchiffrement destiné aux victimes, offrant une opportunité rare de récupérer les données sans verser de rançon. 🔐 ...

Selon la Governor’s Technology Office (GTO) du Nevada, sous la direction de l’Office du CIO, l’État a coordonné la remédiation d’une brèche ciblée qui a perturbé des systèmes pendant environ 28 jours. Le point d’entrée provient d’une campagne de Search Engine Optimization poisoning (SEO poisoning) : un acteur malveillant a injecté du code dans une ressource en ligne de confiance, fréquemment consultée par le personnel IT de l’État. Ce code a été téléchargé et installé sur un poste de travail interne, contournant les défenses endpoint et offrant un accès non autorisé à des systèmes critiques. ...

Source : Blog Barracuda (article du 07/11/2025). Contexte : présentation du groupe Nitrogen et de son évolution, basée sur observations ouvertes et analyses internes, avec un focus sur l’identité, l’implant technique et les méthodes de distribution. L’article décrit Nitrogen comme un acteur de ransomware à motivation financière, identifié depuis 2023, passé d’un rôle de développeur/opérateur de loader à une opération d’extorsion plus complète. Le branding du groupe est minimaliste et peu révélateur, suggérant un manque d’intérêt pour la notoriété publique ou une facilité de rebranding, mais ces éléments demeurent spéculatifs. ...

Selon l’extrait d’actualité fourni, Aleksei Olegovich Volkov (25 ans), alias “chubaka.kor”, a plaidé coupable à plusieurs chefs d’accusation liés à des attaques par ransomware. Points clés : Rôle : Initial Access Broker (IAB) pour le groupe Yanluowang. Période : juillet 2021 – novembre 2022, alors qu’il vivait en Russie. Cibles : sept entreprises américaines ; deux ont versé un total de 1,5 M$ 💰. Peine maximale encourue : jusqu’à 53 ans d’emprisonnement ⚖️. Contexte opérationnel : ...

Selon Google Cloud (rapport « Cybersecurity Forecast 2026 »), ce panorama rassemble des tendances observées en 2025 et projette les menaces majeures de 2026, couvrant l’IA offensive/défensive, la cybercriminalité, l’OT/ICS et les opérations de Russie, Chine, Iran et Corée du Nord. • IA et menace émergente: Les acteurs adopteront massivement l’IA pour accélérer les opérations (social engineering, opérations d’influence, développement de malware). Les agents IA automatiseront des étapes entières d’attaque. Les attaques de prompt injection visant à détourner les modèles et leurs garde-fous devraient augmenter. Le vishing intégrera la clonage de voix pour des usurpations réalistes, tandis que l’IAM devra évoluer vers une gestion d’identités agentiques. 🧠🤖 ...