Ransomware

Source: S2W — S2W TALON (Byeongyeol An) publie le 14 janvier 2026 une analyse approfondie de DragonForce, un ransomware actif depuis fin 2023, détaillant son fonctionnement, ses liens avec d’autres groupes, ses TTPs et la découverte de déchiffreurs dédiés. — Contexte et évolution — • Découvert le 13 décembre 2023 via un post sur BreachForums, le groupe « DragonForce » maintient un DLS (Data Leak Site) et comptait déjà 17 victimes à cette date. En juin 2024, il officialise son modèle RaaS sur le forum RAMP (affiliés IAB, pentesters solo/équipes), promettant 80% des rançons aux affiliés et revendiquant une organisation de type « cartel ». Le groupe propose un service « Ransombay » pour des charges utiles personnalisées. ...

Selon un article de presse, les autorités allemandes ont identifié le Russe Oleg Evgenievich Nefekov comme le leader présumé de l’opération de ransomware Black Basta et ont lancé un appel à informations, entraînant son ajout à la liste des criminels les plus recherchés de l’UE. 🚔 Les policiers allemands ont inscrit Oleg Nefekov (35 ans) sur leur liste des criminels les plus recherchés pour son rôle présumé dans l’opération Black Basta. Son nom et sa photo figurent désormais aussi sur la liste des « most wanted » de l’UE, à la suite d’un appel public à informations lancé jeudi par les autorités allemandes. ...

Source: Check Point Research (CPR) – Analyse publiée sur le blog de recherche de Check Point. CPR documente « Sicarii », une opération de ransomware-as-a-service (RaaS) observée depuis fin 2025, qui revendique une identité israélienne/juive tout en opérant surtout en russe et en anglais, et n’ayant à ce jour publié qu’une victime revendiquée. 🔎 Contexte et identité: Sicarii affiche une imagerie et des références idéologiques israéliennes (hébreu, symboles historiques, références à des groupes extrémistes) et affirme une motivation à la fois financière et idéologique (incitations contre des cibles arabes/musulmanes). CPR relève toutefois des incohérences linguistiques (hébreu non natif, erreurs de traduction), une activité souterraine principalement en russe, et un comportement qui suggère une manipulation d’identité ou un signalement performatif plutôt qu’une affiliation authentique. ...

Selon Information Security Media Group (ISMG), le groupe ransomware DeadLock, actif depuis juillet 2025, emploie des smart contracts sur Polygon pour des fonctions de commande et contrôle et pour faciliter les échanges de rançon via la messagerie chiffrée Session. • Vecteur et communications: DeadLock adopte EtherHiding pour intégrer des instructions malveillantes dans des smart contracts. Le groupe ne dispose pas de site de fuite et attribue à chaque victime un Session ID pour négocier via Session (E2E). Le premier binaire de ransomware connu, en C++ ciblant Windows, a été compilé en juillet 2025. ...

Selon Infosecurity Magazine (8 janvier 2026), un rapport d’Absolute Security fondé sur un sondage de 750 CISO aux États‑Unis et au Royaume‑Uni détaille l’état de la cyber‑résilience en entreprise et ses coûts opérationnels. Sur les 12 derniers mois, plus de 55% des répondants ont subi une attaque, infection par ransomware, compromission ou fuite de données ayant mis hors service des endpoints mobiles, distants ou hybrides. Les temps de récupération des endpoints après incident se répartissent ainsi: 57% en 3–6 jours, 19% en 7–14 jours ⏱️. Côté impact financier, 98% des organisations ont dépensé entre 1 et 5 M$ pour se remettre de ces incidents, pour un coût moyen de 2,5 M$ 💸. ...

Selon LeMagIT (article de Valéry Rieß-Marchive, 7 janvier 2026), LockBit met en scène son « retour » sous bannière LockBit 5.0 en multipliant les publications de victimes, mais une analyse détaillée révèle surtout un volume gonflé par des revendications recyclées. • Chronologie des publications 📅 7 décembre 2025 : 40 victimes publiées. Mi-décembre : 9 revendications supplémentaires. 26 décembre : un lot de 54 revendications. Au total, plus de 110 revendications sont apparues en décembre 2025. • Recyclage massif et originalité limitée 🧮 ...

Selon Emsisoft News (Luke Connolly, 7 janvier 2026), l’analyse des données 2025 issues de RansomLook.io et Ransomware.live met en lumière une hausse marquée des victimes de ransomware, la fragmentation de l’écosystème criminel et l’efficacité accrue de l’ingénierie sociale. 📈 Tendances chiffrées. Les victimes « revendiquées » par les groupes passent d’environ 5 400 en 2023 à 8 000+ en 2025 (selon les deux sources). La croissance 2025 sur 2024 atteint +46% (RansomLook) et +33% (Ransomware.live). Le nombre de groupes actifs progresse en parallèle (jusqu’à 126–141 en 2025), avec une moyenne de victimes par groupe restant globalement stable (~60–65 depuis 2023/2024), suggérant que la fragmentation maintient la cadence d’attaques. ...

Source : LeMagIT (Valéry Rieß-Marchive), actualité du 8 janvier 2026. Après une accalmie en 2024, les demandes d’assistance à Cybmalveillance.gouv.fr ont montré une reprise marquée en décembre 2024. En 2025, la tendance a alterné entre repli modéré (avril à août) puis nouvelle reprise, suivie d’un repli en novembre et décembre. Ces dynamiques concordent avec les revendications des cybercriminels et les constatations du MagIT. 📈🔁 Fait notable en 2025 : le nombre de dossiers ouverts par le parquet de Paris ne suit plus cette courbe. Selon des chiffres relayés par ZDNet, il y a un décrochage sensible des plaintes par rapport aux incidents réellement survenus. 📉 ...

Selon l’article, dans le contexte d’une intensification des opérations en 2024-2025, un nouveau groupe de ransomware nommé SafePay s’impose comme une menace mondiale majeure. 🔒 SafePay fonctionne à l’opposé des modèles RaaS dominants : le groupe est centralisé et fermé, gardant un contrôle strict sur l’infrastructure, les négociations et les profits. Cette approche OPSEC vise à réduire les risques de fuites de code et d’infiltration par les forces de l’ordre qui ont affecté des groupes comme LockBit et ALPHV. ...

Selon The Record (therecord.media), Sedgwick a confirmé qu’une cyberattaque touche sa filiale dédiée au secteur public, Sedgwick Government Solutions, après la revendication du groupe ransomware TridentLocker d’un vol de 3,4 Go de données publié le soir du Nouvel An. 🚨 La filiale fournit des services de gestion de sinistres et de risques à des agences fédérales sensibles, notamment le Department of Homeland Security (DHS), ICE, CBP, USCIS, le Department of Labor et la CISA. Elle intervient aussi pour des agences municipales dans les 50 États, ainsi que pour le Smithsonian et la Port Authority of New York and New Jersey. ...