Ransomware

Selon un rapport de Huntress, un nouveau ransomware appelé Crux a été identifié. Ce ransomware est revendiqué par les acteurs de la menace comme étant « une partie du groupe BlackByte ». Jusqu’à présent, Crux a été observé dans trois incidents distincts. Les fichiers chiffrés par ce ransomware se terminent par l’extension .crux, et les notes de rançon suivent la convention de nommage crux_readme_[aléatoire].txt. L’adresse email de support mentionnée dans toutes les notes de rançon jusqu’à présent est BlackBCruxSupport@onionmail.org. ...

Le 17 juillet 2025, Inside IT révèle que le groupe World Leaks, successeur de Hunters International, a ciblé une nouvelle entreprise suisse : la société pharmaceutique Innomedica. Cette attaque intervient peu de temps après celle contre Chain IQ, un prestataire en achats stratégiques. Le groupe de rançongiciel a déjà publié dans le Dark Web les données de 44 victimes, dont deux entreprises suisses. Lors de l’attaque de juin contre Chain IQ, un énorme paquet de données de 909 Go a été diffusé, contenant notamment les informations de plus de 130 000 collaborateurs d’UBS. ...

L’actualité rapportée le 18 juillet 2025 concerne une attaque par ransomware qui a frappé Novabev Group, un des plus grands producteurs d’alcool en Russie, connu pour sa vodka Beluga. Plus de 2 000 magasins WineLab, une filiale de Novabev, ont dû fermer temporairement leurs portes à travers la Russie en raison de cette attaque. Les clients ont été informés de ces fermetures par des affiches indiquant des “problèmes techniques”. Cette attaque a non seulement interrompu les expéditions mais a également forcé la fermeture des magasins, mettant en lumière la vulnérabilité des infrastructures informatiques de Novabev face aux cybermenaces. ...

Cet article, publié le 18 juillet 2025, met en lumière le groupe Qilin, un acteur significatif dans le domaine des cybermenaces. Initialement observé en juillet 2022 sous le nom d’Agenda ransomware, le groupe a été rebaptisé Qilin en septembre de la même année. Depuis février 2023, Qilin a évolué pour opérer en tant que Ransomware-as-a-Service (RaaS). Ce modèle permet à divers affiliés d’utiliser leur infrastructure pour mener des attaques de ransomware, en échange d’une part des rançons collectées. ...

La police japonaise a annoncé le développement d’un outil de décryptage pour le ransomware Phobos/8Base. Cet outil est disponible en téléchargement gratuit sur le site de la NPA (National Police Agency) et vise à aider les victimes à récupérer leurs données sans avoir à payer de rançon. Le ransomware Phobos/8Base est connu pour chiffrer les données des victimes et exiger une rançon pour leur décryptage. Cette initiative de la police japonaise représente un pas important dans la lutte contre les cybercriminels en fournissant une solution directe aux victimes. ...

Selon un article de koreaherald.com, Seoul Guarantee Insurance (SGI), le plus grand fournisseur d’assurance garantie de Corée du Sud, est gravement affecté par une attaque par ransomware qui a mis hors ligne ses systèmes principaux pendant trois jours consécutifs. L’incident a débuté lundi matin lorsque SGI a détecté un « symptôme anormal » dans son système de base de données. Mardi après-midi, une enquête conjointe menée par le Financial Supervisory Service et le Financial Security Institute a confirmé qu’il s’agissait d’une violation par ransomware. ...

L’article analyse le ransomware Secp0, apparu début 2025, qui a initialement été mal compris comme un groupe d’extorsion de divulgation de vulnérabilités, mais qui fonctionne en réalité comme un ransomware traditionnel à double extorsion, chiffrant les données tout en menaçant de les divulguer publiquement. Secp0 a été identifié pour la première fois en février 2025 et a revendiqué sa première victime en mars 2025, une entreprise IT américaine, en compromettant des données et en chiffrant des serveurs. En mai 2025, Secp0 a retardé ses publications, citant une file d’attente de sociétés et testant une solution logicielle, probablement la plateforme d’extorsion World Leaks. ...

L’article de Mandiant et Google Threat Intelligence Group met en lumière une campagne d’exploitation en cours par un acteur malveillant, désigné UNC6148, visant les appareils SonicWall Secure Mobile Access (SMA) 100 en fin de vie. UNC6148 utilise des identifiants et des seeds OTP volés lors d’intrusions précédentes pour accéder aux appareils, même après l’application de mises à jour de sécurité. Le malware OVERSTEP, un rootkit en mode utilisateur, est déployé pour modifier le processus de démarrage des appareils, voler des informations sensibles et se dissimuler. ...

L’article de The Record rapporte une opération menée par la police postale et de cybersécurité italienne contre un groupe de cybercriminels connu sous le nom de ‘Diskstation’. Ce groupe est accusé d’avoir mené des attaques de ransomware, où ils chiffrent les systèmes des victimes et demandent des rançons en cryptomonnaie pour restaurer l’accès aux données. Cette méthode d’attaque est courante parmi les cybercriminels cherchant à extorquer de l’argent à leurs victimes en exploitant des failles de sécurité. ...

Selon un article publié par Bleeping Computer, une action internationale des forces de l’ordre a conduit au démantèlement d’un gang de ransomware roumain connu sous le nom de ‘Diskstation’. Ce groupe criminel avait pour cible principale des entreprises situées dans la région de Lombardie, en Italie. Le gang ‘Diskstation’ utilisait des ransomwares pour chiffrer les systèmes informatiques des entreprises, rendant leurs données inaccessibles et paralysant ainsi leurs opérations commerciales. Cette attaque a eu un impact significatif sur les activités économiques de la région, causant des perturbations majeures. ...