Ransomware

Selon Seqrite (blog sécurité de Quick Heal), cette analyse décrit des campagnes de rançongiciel qui abusent d’outils d’accès à distance légitimes afin de s’infiltrer, rester furtifs et déployer la charge utile au sein d’environnements d’entreprise. • Les acteurs exploitent des RAT légitimes (AnyDesk, UltraViewer, RustDesk, Splashtop) souvent signés et whitelistés, ce qui leur permet de se fondre dans les opérations IT. L’étude retrace une kill chain en 7 étapes: (1) Accès initial via compromission d’identifiants avec séquence d’événements Windows 4625→4624; (2) Déploiement silencieux des outils (flags comme /VERYSILENT et /S); (3) Persistance via clés de registre (HKCU\Software\Microsoft\Windows\CurrentVersion\Run), tâches planifiées, et élévation SYSTEM (ex. PowerRun); (4) Neutralisation de l’antivirus par arrêt de services (sc stop, net stop), manipulation de politiques et purge de logs (wevtutil cl); (5) Livraison de la charge utile via les canaux RAT; (6) Mouvement latéral par réutilisation d’identifiants et propagation des RAT; (7) Impact par chiffrement et verrouillage des systèmes. ...

Selon Trellix Advanced Research Center, XWorm V6.0 — un RAT modulaire apparu en 2022 et réputé abandonné en 2024 — est de nouveau actif dans des campagnes récentes, avec un large éventail de plugins et des techniques d’évasion et de persistance renforcées. • Portée et capacités: XWorm v6 embarque plus de 35 plugins couvrant le vol de données, le ransomware, le contrôle à distance (RDP/screen capture), la collecte d’identifiants et un contournement de sécurité Chrome v20. L’architecture modulaire charge des DLL en mémoire, avec communication C2 chiffrée (AES) et mécanismes anti-analyse hérités en partie de NoCry Ransomware. 🧩 ...

Selon KrebsOnSecurity, des procureurs américains ont engagé des poursuites contre Thalha Jubair (19 ans, UK) pour son rôle présumé au sein de Scattered Spider, tandis que lui et Owen Flowers (18 ans) faisaient face à des accusations au Royaume-Uni liées à des intrusions et extorsions visant des entreprises majeures. — Contexte et faits saillants — Deux suspects, Thalha Jubair et Owen Flowers, sont accusés d’avoir participé à des campagnes d’extorsion attribuées à Scattered Spider/0ktapus/UNC3944, totalisant au moins 115 M$ de rançons. Les cibles incluent des retailers britanniques (Marks & Spencer, Harrods, Co-op Group), Transport for London, ainsi que des fournisseurs de santé américains et des entreprises comme MGM Resorts et Caesars Entertainment (attaque de 2023 liée à l’affilié ALPHV/BlackCat). Les autorités américaines disent avoir saisi 36 M$ en cryptomonnaies sur un serveur contrôlé par Jubair et l’avoir relié à des achats de cartes cadeaux livrant à son domicile; les procureurs britanniques évoquent la possession de plus de 50 M$ en crypto liée aux attaques. — Antécédents et réseau — ...

Selon BleepingComputer, une attaque par ransomware a touché Motility Software Solutions, un fournisseur de logiciels de gestion pour concessionnaires (DMS), entraînant l’exposition de données sensibles appartenant à 766 000 clients. Type d’incident : ransomware 🔒 Organisation touchée : Motility Software Solutions (fournisseur de DMS) Impact : exposition de données sensibles Ampleur : 766 000 clients concernés Les informations publiées mettent l’accent sur l’impact en matière de confidentialité des données touchant un large volume de clients, suite à une compromission par ransomware visant un prestataire logiciel du secteur DMS. ...

Selon l’extrait d’actualité fourni, un tribunal de circuit du comté de Broward (Floride) a approuvé un accord préliminaire concernant l’attaque par ransomware subie par OneBlood. Les personnes affectées peuvent réclamer jusqu’à 2 500 $ pour des pertes documentées ou opter pour un paiement en espèces de 60 $ . Une audience finale est fixée au 9 décembre ⚖️. OneBlood nie toute faute. OneBlood a découvert fin juillet 2024 avoir été victime d’une attaque par ransomware menée par des acteurs criminels. ...

Selon l’actualité rapportée, la filiale américaine du fabricant japonais d’outils de coupe Tenryu Seiko, TENRYU AMERICA, INC., a été touchée par une attaque de type ransomware. 🔒 Nature de l’incident: l’entreprise a constaté le chiffrement de fichiers stockés sur un serveur après une intrusion externe non autorisée. Chronologie clé: 21 septembre 2025 (heure locale): accès non autorisé depuis l’extérieur. 22 septembre 2025: confirmation que divers fichiers sur le serveur ont été chiffrés. Impact: ...

Selon Reuters, des cybercriminels du gang Radiant ont revendiqué le vol de données concernant plus de 8 000 enfants inscrits dans les crèches londoniennes de Kido International, en publiant des preuves sur leur portail du dark web. Type d’attaque: vol de données avec menace de divulgation (extorsion) 🔓🧒 Impact: publication de noms, photos, adresses et coordonnées familiales de 10 enfants; menace d’exposer 30 profils d’enfants supplémentaires et 100 employés. Kido International n’a pas répondu aux sollicitations de Reuters. La Metropolitan Police indique n’avoir procédé à aucune arrestation et que les enquêtes de l’unité cyber sont en cours. Les assaillants affirment avoir été présents plusieurs semaines dans les réseaux de Kido et disent être basés en Russie (sans fournir de preuve). Ils n’ont pas divulgué le montant demandé. Le papier rappelle qu’un ransomware consiste à chiffrer des données et exiger une rançon. ...

Source: BBC (bbc.com). Contexte: Une attaque cyber ayant visé le logiciel d’enregistrement et de bagages de Collins Aerospace perturbe depuis plusieurs jours des aéroports européens, tandis que la NCA annonce une arrestation au Royaume-Uni. 🚨 La National Crime Agency (NCA) a arrêté un homme d’une quarantaine d’années à West Sussex, soupçonné d’infractions au Computer Misuse Act, dans le cadre de l’enquête sur l’« incident cyber » affectant Collins Aerospace. L’individu a été libéré sous caution et l’enquête, dirigée par l’unité nationale de la cybercriminalité, se poursuit. La NCA parle d’une « étape positive » mais d’investigations encore « à un stade précoce ». ...

Source: Security Week ( Eduard Kovacs) En septembre 2025, Collins Aerospace, fournisseur majeur de logiciels de traitement passagers pour de nombreux aéroports européens, a subi une attaque ransomware attribuée à un variant du groupe HardBit. Cette attaque a compromis la plateforme MUSE, utilisée pour la gestion des enregistrements, bagages et embarquements, impactant significativement des aéroports comme Londres Heathrow, Bruxelles, Berlin et Dublin. Les systèmes automatisés sont tombés en panne, obligeant les aéroports à recourir à des processus manuels, ce qui a engendré de nombreux retards et annulations de vols. ...

Source: The Raven File — enquête publiée fin septembre 2025 après quatre mois d’analyse sur le groupe de ransomware Gunra. Le billet centralise l’historique, l’infrastructure (DLS, négociations), l’analyse d’échantillons Windows/Linux, les TTP MITRE et des IOC. • Victimologie et ciblage: Gunra opère une double extorsion, affiche ses victimes sur un Data Leak Site (DLS) et a ajouté 18 victimes entre avril et septembre 2025. Les pays les plus touchés incluent Corée du Sud, Brésil, Japon, Canada, E.A.U., Égypte, Panama, ainsi que Colombie, Nicaragua, Croatie, Italie. À date, aucune victime américaine; seul pays anglophone ciblé: Canada. Secteurs: manufacturing, santé, technologie, services, finance. L’auteur avance des hypothèses sur l’absence de cibles US. ...