Ransomware

🔍 Contexte Publié le 27 avril 2026 par Kirk sur derp.ca, cet article présente une analyse technique détaillée de M3rx, un nouveau groupe ransomware apparu publiquement fin avril 2026. RansomLook recense six posts associés à ce groupe au 27 avril 2026, dont cinq publiés le 26 avril. PurpleOps référence la même activité sous le label M3RXDLS. 🎯 Victimes revendiquées Le groupe revendique des victimes dans plusieurs pays : rotak.it (IT) — 23 avril 2026 rainforestclean.com — 259 Go, 77k fichiers airdriephysio.com — 54 Go, 116k fichiers primeproperties.com.au — 100 Go, 81k fichiers anvilarts.org.uk — 480 Go, 299k fichiers dmschweiz.ch — 120 Go, 100k fichiers Zones géographiques concernées : États-Unis, Canada, Australie, Royaume-Uni, Suisse, Italie. ...

🔍 Contexte Publié le 28 avril 2026 par Check Point Research (CPR), cet article présente une analyse technique approfondie du ransomware VECT 2.0, un service Ransomware-as-a-Service (RaaS) apparu pour la première fois en décembre 2025 sur un forum cybercriminel russophone. CPR a obtenu un accès au panneau d’affiliation et au builder via un compte BreachForums. 🧩 Présentation de VECT VECT est un ransomware écrit en C++, ciblant trois plateformes : Windows, Linux et VMware ESXi. La version 2.0 a été publiée en février 2026. Le groupe a annoncé des partenariats avec : ...

📈 235 revendications cette semaine (+20, +9.3% par rapport à S16) Période : 20.04.2026 au 26.04.2026 Analyse Ransomware — Semaine 17 / 2026 (20 – 26 avril 2026) Source : eCrime.ch — Données agrégées, victimes individuelles non mentionnées Vue d’ensemble La semaine 17 enregistre 235 revendications de rançongiciels, soit une hausse de 20 cas supplémentaires par rapport à la semaine précédente (+9,3 %). Cette progression rompt avec le niveau observé en S16 (215 revendications) et constitue l’un des volumes hebdomadaires les plus élevés observés récemment. À noter que 97 revendications sur 235 (soit environ 41 %) ne permettent pas d’identifier le pays de la victime, ce qui limite l’interprétation géographique des données. ...

📊 Source : HelpNet Security, 23 avril 2026 — Rapport InsurSec 2026 publié par At-Bay, basé sur plus de 100 000 années-polices de données sinistres. Tendances générales Le rapport documente une hausse de 7% en glissement annuel de la fréquence globale des sinistres cyber, avec une sévérité moyenne record de 221 000 $ tous types d’incidents confondus. Ransomware : le type d’incident le plus coûteux Sévérité moyenne ransomware : 508 000 $, en hausse de 16% par rapport à l’année précédente Le ransomware constitue de loin le type d’incident le plus coûteux du portefeuille Impact sur les petites entreprises (< 25 M$ de CA) Les entreprises dont le chiffre d’affaires est inférieur à 25 millions de dollars ont enregistré les évolutions les plus marquées : ...

🗓️ Contexte Source : Ars Technica, publié le 23 avril 2026 par Dan Goodin. L’article s’appuie sur une analyse technique publiée le même jour par la société de sécurité Rapid7, portant sur la famille de ransomware Kyber. 🦠 Description du malware Kyber est une famille de ransomware active depuis au moins septembre 2025. Elle tire son nom de l’algorithme cryptographique ML-KEM (Module Lattice-based Key Encapsulation Mechanism), également connu sous le nom de Kyber, standardisé par le NIST. ...

🔍 Contexte Publié le 21 avril 2026 par Anna Širokova sur le blog Rapid7, cet article présente une analyse technique approfondie du ransomware Kyber, découvert lors d’un engagement de réponse à incident en mars 2026. Deux variantes ont été récupérées dans le même environnement victime, offrant une opportunité rare d’analyse comparative. 🧩 Description des variantes Variante Linux/ESXi (ELF) Binaire 64-bit ELF, écrit en C++ (GCC 4.4.7), non packé, non obfusqué Cible explicitement les datastores VMware ESXi (/vmfs/volumes) Utilise les outils natifs ESXi : esxcli pour lister et terminer les VMs Chiffrement réel : ChaCha8 + RSA-4096 (wrapping de clé), malgré une note de rançon affirmant AES-256-CTR + X25519 + Kyber1024 Extension des fichiers chiffrés : .xhsyw Note de rançon : readme.txt Déface les interfaces SSH (/etc/motd) et web VMware (/usr/lib/vmware/hostd/docroot/index.html) Exécution en arrière-plan via fork() + setsid() pour survivre à la fermeture de session SSH Chiffrement partiel basé sur la taille des fichiers (10% par défaut pour les fichiers >4 MB) Variante Windows (PE) Binaire 64-bit PE, écrit en Rust (MSVC/VS2022), non packé, non obfusqué Chemin de build exposé : C:\Users\user\.cargo\registry\src\index.crates.io-6f17d22bba15001f Chiffrement réel : AES-256-CTR + Kyber1024 + X25519 (conforme aux affirmations de la note) Extension des fichiers chiffrés : .#~~~ Note de rançon : READ_ME_NOW.txt Pipeline d’entropie personnalisé (temps système, CSPRNG Windows, RDRAND, données de processus) Fonctionnalité Hyper-V expérimentale via PowerShell (Get-VM, Stop-VM -Force -TurnOff) 11 commandes anti-récupération si exécuté avec élévation de privilèges : Suppression des shadow copies (WMI, WMIC, vssadmin) Désactivation du Windows Recovery Environment (bcdedit) Suppression des sauvegardes système (wbadmin) Arrêt d’IIS, effacement des journaux d’événements (wevtutil), vidage de la corbeille Terminaison de services : msexchange, vss, backup, veeam, sql Enregistrement d’une icône personnalisée pour les fichiers .#~~~ via le registre Windows Mutex : boomplay[.]com/songs/182988982 🔗 Infrastructure partagée Les deux variantes partagent un identifiant de campagne commun (5176[REDACTED]) et une infrastructure Tor : ...

📰 Source : Kyodo News via Mainichi Shimbun — Date : 20 avril 2026 — Contexte : Résultats d’une enquête menée en janvier 2026 par le Japan Institute for Promotion of Digital Economy and Community (JIPDEC) auprès de 1 107 entreprises japonaises. 📊 Chiffres clés de l’enquête : 507 entreprises sur 1 107 interrogées ont déclaré avoir été victimes d’une attaque par ransomware 222 entreprises ont choisi de payer la rançon aux attaquants Parmi celles ayant payé : 83 ont pu restaurer leurs systèmes et données, 139 n’ont pas pu les récupérer (soit environ 62,6% d’échec) 141 entreprises ont refusé de payer et ont néanmoins réussi à restaurer leurs systèmes et données 💥 Impact : L’enquête met en évidence l’inefficacité fréquente du paiement de rançon comme moyen de récupération des données, avec une majorité des entreprises ayant payé qui n’ont pas obtenu la restauration promise. ...

🗓️ Contexte Source : 20min.ch (Le Nouvelliste), publiée le 22 avril 2026. L’article relate les conséquences d’une cyberattaque par rançongiciel survenue le 12 avril 2026 contre la commune de Vétroz (Valais, Suisse), toujours en cours de rétablissement dix jours après les faits. 🎯 Victimes identifiées L’attaque a touché plusieurs entités partageant le même prestataire informatique : Commune de Vétroz : perte d’accès aux bases de données et logiciels essentiels pendant près d’une semaine ; suppression de tous les courriels reçus depuis le 7 avril. Abrifeu SA (Riddes) : perte totale des mails, de la bureautique et du logiciel de gestion des stocks, livraisons et facturation — paralysie financière. Air-Glaciers : impact limité, les sauvetages héliportés n’ont pas été affectés. Foire du Valais : perte d’accès à deux serveurs (comptabilité toujours bloquée au moment de la publication ; gestion des tourniquets rétablie). 🦠 Acteur de la menace L’attaque est attribuée au groupe transnational AKIRA, spécialisé dans les rançongiciels. Ce groupe est dans le viseur du Ministère public de la Confédération (MPC) suisse, qui a ouvert une procédure pénale en avril 2024. En octobre 2025, le MPC signalait une intensification des activités d’AKIRA en Suisse, évaluant à 200 le nombre d’entreprises victimes et le préjudice à plusieurs millions de francs suisses en Suisse, et plusieurs centaines de millions de dollars à l’échelle mondiale. ...

📰 Source : SuspectFile — Date : 22 avril 2026 — Interview directe accordée par le groupe DragonForce à la plateforme d’investigation SuspectFile. 🎯 Présentation du groupe DragonForce se décrit comme un écosystème RaaS (Ransomware-as-a-Service) basé sur un modèle de partenariat ouvert. Le groupe se positionne comme un régulateur chargé de faire respecter des règles internes, tandis que les affiliés (« partenaires ») conduisent les attaques de manière autonome. Cette structure décentralisée complexifie l’attribution technique. ...

🔍 Contexte Publié le 20 avril 2026 par Check Point Research, cet article constitue une analyse technique approfondie du programme Ransomware-as-a-Service (RaaS) The Gentlemen, apparu vers mi-2025 et ayant revendiqué plus de 320 victimes, dont 240 en 2026. 🎯 Le programme RaaS The Gentlemen The Gentlemen opère un modèle RaaS classique avec recrutement d’affiliés via des forums underground. Le groupe fournit : Des lockers multi-OS (Windows, Linux, NAS, BSD) écrits en Go Un locker ESXi écrit en C Des outils de kill EDR et une infrastructure de pivot multi-chaîne Un site onion de fuite de données Un compte X/Twitter (@TheGentlemen25) pour pression publique sur les victimes Négociations via Tox ID ou Session ID (P2P chiffré) 🔗 Chaîne d’attaque observée (DFIR) L’attaquant est détecté initialement avec des privilèges Domain Admin sur un contrôleur de domaine. La séquence documentée est : ...