Ransomware

Selon Security.com (Symantec and Carbon Black), une récente campagne de Black Basta se distingue par l’intégration d’un composant d’évasion (BYOVD) directement au sein du payload du rançongiciel, une approche rare pour cette famille et potentiellement en voie de généralisation. Le payload dépose un driver vulnérable NsecSoft NSecKrnl (CVE-2025-68947), crée un service NSecKrnl, puis exploite ce driver en mode noyau pour tuer des processus de sécurité (AV/EDR), avant de chiffrer les fichiers en leur apposant l’extension “.locked”. Sont visés notamment des processus Sophos, Symantec, Microsoft Defender (MsMpEng), CrowdStrike, Cybereason, Trend Micro, ESET et Avast. ...

TechCrunch (Zack Whittaker) détaille l’ampleur croissante de la fuite de données liée à l’attaque au ransomware subie par Conduent, géant govtech et important contractant des administrations américaines. Type d’attaque : ransomware ayant perturbé les opérations de Conduent pendant plusieurs jours en janvier 2025, avec des pannes de services gouvernementaux à travers les États-Unis 🔐. Portée : l’incident semble toucher bien plus de personnes qu’initialement annoncé. Impact chiffré et zones touchées 🇺🇸: ...

Contexte: source non précisée; publication datée du 4 février 2026. En octobre 2023, CISA a ajouté à la base KEV (Known Exploited Vulnerabilities) le champ knownRansomwareCampaignUse pour aider à la priorisation des vulnérabilités. L’auteur rappelle que s’appuyer sur KEV est déjà un indicateur retardé, et attendre en plus le flag ransomware l’est encore davantage, même si les équipes ont parfois besoin de preuves solides pour agir. CISA ne se contente pas d’annoter les nouvelles entrées : l’agence met à jour silencieusement des fiches existantes. Lorsque le champ passe de « Unknown » à « Known », CISA indique disposer de preuves d’usage par des opérateurs de ransomware — un changement matériel de posture de risque qui devrait modifier la priorisation. ...

Source : BleepingComputer — 29 janvier 2026 Vulnérabilité concernée : CVE-2025-22225 (VMware ESXi) — Arbitrary Kernel Write / Sandbox Escape Gravité : Élevée (activement exploitée) Selon BleepingComputer, la CISA a confirmé mercredi que des groupes de rançongiciel exploitent une vulnérabilité de gravité élevée permettant une évasion de sandbox dans VMware ESXi, une faille qui avait auparavant servi dans des attaques zero-day. 🚨 Exploitation confirmée par la CISA: des groupes de ransomware « ont commencé » à tirer parti de la faille. 🧩 Nature de la faille: évasion de sandbox sur VMware ESXi. ⏳ Historique: vulnérabilité déjà observée en zero-day avant cette confirmation d’exploitation par des rançongiciels. 📌 Ce qu’il faut retenir La CISA (Cybersecurity and Infrastructure Security Agency) americiane confirme que des groupes de ransomware exploitent désormais CVE-2025-22225, une faille VMware ESXi qui avait déjà été utilisée comme zero-day. ...

Selon une annonce d’Enviro-Hub Holdings, le groupe a été visé par une attaque par ransomware ayant entraîné un accès non autorisé à ses systèmes. 🧨 Nature de l’incident: attaque par ransomware avec accès non autorisé par un acteur inconnu aux serveurs du groupe. 🛡️ Réponse: confinement et remédiation rapides, recours à des experts externes en cybersécurité. 📊 Impact: d’après les évaluations préliminaires, pas d’impact matériel attendu sur les opérations à ce stade. 📝 Conformité: notification au Personal Data Protection Commission (PDPC) de Singapour; enquêtes en cours. 📈 Marché: le groupe conseille aux actionnaires et investisseurs d’agir avec prudence dans le trading de ses actions en attendant d’éventuels développements matériels. IOCs et TTPs: ...

Selon WTNH, le maire de New Britain (Connecticut), Bobby Sanchez, a confirmé vendredi qu’une « perturbation du réseau » survenue tôt mercredi au sein du service de police était due à une attaque par ransomware. 🕒 Chronologie: une perturbation du réseau est survenue tôt mercredi matin au sein du New Britain Police Department, avant d’être officiellement confirmée vendredi comme étant liée à un ransomware. 🚔 Cible et impact: l’incident touche le service de police de New Britain, avec une perturbation réseau. Aucune autre information opérationnelle n’est détaillée dans l’extrait. ...

Selon Health-ISAC, ce rapport s’appuie sur des données issues de plusieurs initiatives pour illustrer les impacts ressentis par la communauté face aux principales menaces touchant le secteur de la santé en 2025. Le document agrège des informations de la base Health-ISAC Ransomware Events Database, des évaluations de Physical Security et de l’initiative Targeted Alerts, qui a diffusé plus de 1 200 avertissements au secteur en 2025. Il met en avant des enseignements fondés sur les données et sur le partage d’indicateurs via le programme Indicator Sharing. 🏥📊 ...

Source: ctrlaltnod.com — Contexte: analyse publiée le 29 janvier 2026 détaillant l’enchaînement entre une compromission du cloud MySonicWall (sept. 2025) et une attaque par ransomware contre Marquis Software Solutions (août 2025), avec impacts sectoriels aux États‑Unis. • Événement clé: des acteurs étatiques ont accédé au service cloud MySonicWall via des appels API, exfiltrant des sauvegardes de configurations de pare-feu. SonicWall a d’abord annoncé un impact « < 5% » avant de confirmer que tous les clients du service de sauvegarde cloud étaient touchés. ...

Selon le Centre canadien pour la cybersécurité (Cyber Centre, CSE), l’organisme publie le Ransomware Threat Outlook 2025 à 2027, sa dernière évaluation des menaces ransomware qui pèsent sur le Canada. Le rapport décrit un écosystème de ransomware hautement sophistiqué et interconnecté, en évolution constante, et souligne que comprendre les tendances actuelles et émergentes est crucial pour mieux se préparer et atténuer les risques. Le Centre canadien pour la cybersécurité (Cyber Centre) publie une évaluation prospective de l’évolution de la menace ransomware au Canada sur la période 2025–2027. Le rapport confirme que le ransomware demeure l’une des menaces cybercriminelles les plus persistantes, coûteuses et perturbatrices pour les organisations canadiennes, tous secteurs confondus. ...

Selon BleepingComputer (Lawrence Abrams, 28 janvier 2026), le FBI a saisi le forum cybercriminel RAMP, utilisé pour promouvoir des opérations de rançongiciel, recruter des affiliés et vendre des accès. Le site Tor et le domaine ramp4u[.]io affichent désormais une bannière de saisie mentionnant la coordination avec le United States Attorney’s Office (Southern District of Florida) et la CCIPS du Department of Justice, agrémentée du slogan de RAMP « THE ONLY PLACE RANSOMWARE ALLOWED! » et d’une image taquine de « Masha and the Bear ». 🚓 ...