Ransomware

Source: LeMagIT (Valéry Rieß-Marchive). Contexte: à la suite d’une enquête de Le Monde et Die Zeit évoquant un « Group 78 » qui aurait orchestré des fuites pour déstabiliser le gang de rançongiciel Black Basta, LeMagIT détaille comment une source anonyme, « Mikhail », l’a contacté fin 2024 avec des informations sur le supposé leader (« Tramp »/Oleg Nefedov). Le 16 décembre 2024, « Mikhail » contacte l’auteur via X pour révéler l’identité du chef de Black Basta, groupe apparu au printemps 2022, héritier de la nébuleuse Conti. Le journaliste, qui suivait déjà les flux Bitcoin liant Conti et Black Basta, entame des échanges par e‑mail et monte, avec d’autres experts (HUMINT et cybercriminalité), un canal sécurisé éphémère pour valider les informations. ...

Selon Intel 471, des responsables européens ont révélé l’existence d’un task force secret du FBI nommé « Group 78 », dédié à la perturbation de groupes de ransomware russes — en particulier Black Basta — via des opérations clandestines. Le groupe viserait à désorganiser les membres en Russie et à retourner le pays contre les cybercriminels. La même source rappelle que Black Basta a extorqué au moins 100 M$ depuis avril 2022 et qu’une fuite en février 2025 de 200 000 messages de chat a exposé sa structure, ses TTPs et l’identité de membres. Ces révélations auraient tendu les relations entre autorités américaines et européennes en raison de méthodes opérationnelles et d’implications juridiques. ...

Selon un communiqué publié sur le site web d’Askul, l’entreprise fait face à une infection par ransomware entraînant une panne système. En conséquence, les opérations de réception des commandes et les expéditions sont suspendues. Askul indique enquêter sur l’étendue des impacts, y compris une éventuelle fuite de données (informations personnelles et données clients), et promet de communiquer dès que des éléments seront disponibles. Points clés: Type d’incident: ransomware Impact opérationnel: arrêt des commandes et des expéditions Données potentiellement concernées: informations personnelles et données clients (sous enquête) Statut: investigation en cours ; informations à venir IOCs et TTPs: ...

Selon l’extrait d’actualité fourni, le rançongiciel Warlock est attribué à un acteur basé en Chine et présente des liens avec des activités malveillantes remontant à 2019. Warlock est décrit comme une menace inhabituelle car, à la différence de nombreuses opérations de ransomware souvent associées à la CEI, il semble être utilisé par un groupe basé en Chine 🇨🇳. Bien que son nom soit nouveau (apparition en juin 2025), des connexions avec des activités antérieures et variées sont mentionnées. ...

Selon la Polícia Federal (Brésil), une opération nommée Decrypt a été déclenchée vendredi 17/10 pour enquêter sur des attaques ransomware menées par une organisation criminelle transnationale. 🚓 L’opération comprend l’exécution de deux mandats de perquisition et saisie dans l’État de Minas Gerais et un mandat de perquisition ainsi qu’**un mandat d’**arrestation temporaire dans l’État de São Paulo. 🔐 L’enquête vise à éclaircir la participation d’un citoyen brésilien au sein d’un groupe spécialisé dans les attaques de type ransomware — une intrusion des systèmes, chiffrement des données, puis exigence de rançon, généralement en cryptomonnaies, pour la libération des informations. ...

Selon le blog BushidoToken (référence fournie), l’ICO a sanctionné Capita d’une amende de 14 M£ à la suite d’une attaque BlackBasta en mars 2023 ayant compromis plus de 6 millions d’enregistrements, pour un coût de remédiation pouvant atteindre 20 M£. L’analyse met en lumière des failles systémiques (alertes manquées pendant 58 heures, SOC sous-doté, segmentation AD insuffisante, recommandations de tests d’intrusion non mises en œuvre) et en tire des enseignements concrets pour les équipes sécurité. ...

Selon l’Information Technology - Information Sharing and Analysis Center (IT-ISAC), l’activité ransomware a atteint 1 417 attaques au T3 2025, avec une concentration sur les secteurs Manufacturier critique, Installations commerciales et Technologies de l’information. 📈 Contexte et tendance: après une forte hausse en 2024 sur le second semestre (de 503 au T2 à 931 au T3, puis 1 537 au T4), 2025 montre un schéma similaire. Les deux premiers trimestres 2025 ont reculé de 1 537 (T1) à 1 288 (T2), avant de repartir à 1 417 (T3), suggérant une reprise de la dynamique en fin d’année. ...

Selon l’article de analyst1, en septembre 2025, un opérateur de ransomware se présentant comme « Devman » a partagé un lien vers une nouvelle plateforme de Ransomware-as-a-Service (RaaS) quelques jours avant son lancement public. L’auteur décrit que « Devman » avait travaillé en solo pendant des mois sur du code DragonForce modifié, avant de formaliser une marque et de recruter des affiliés pour opérer en modèle RaaS. 🧩 Le timing est présenté comme inhabituel: quelques semaines auparavant, « Devman » affirmait quitter son équipe ransomware pour des raisons personnelles. Au lieu de se retirer, il a construit davantage d’infrastructure, lancé un programme d’affiliation et s’est positionné comme opérateur RaaS. 🔄 ...

Source: Microsoft (Microsoft Digital Defense Report). Contexte: Bilan des incidents étudiés par les équipes sécurité de Microsoft, avec une analyse signée par le CISO Igor Tsyganskiy. • Principaux constats: dans 80% des incidents analysés, les attaquants ont cherché à voler des données 🔐. Plus de la moitié des attaques dont le mobile est connu sont liées à l’extorsion ou au ransomware, soit au moins 52% motivées par le gain financier 💰, tandis que les attaques d’espionnage ne représentent que 4%. ...

Selon les autorités fédérales suisses, une enquête pénale est conduite depuis avril de l’an dernier par la Bundesanwaltschaft (BA), sous la coordination de Fedpol, en étroite collaboration avec le Bundesamt für Cybersicherheit (BACS) et des autorités de plusieurs pays. Le groupe de pirates Akira, apparu en mars 2023, est au cœur de cette procédure. Il opère avec un logiciel spécialisé et développé sur mesure et s’appuie sur une infrastructure IT distribuée à l’international 🌐. ...