Ransomware

Le 14 juillet 2025, SGI Seoul Guarantee a annoncé, par le biais d’un communiqué de presse, qu’une attaque par ransomware est suspectée d’être à l’origine d’une panne de son système informatique. Cette déclaration fait suite à une collaboration étroite avec des organisations professionnelles, notamment l’Institut de Sécurité Financière. Depuis plus de 12 heures, le système informatique de SGI Seoul Guarantee, qui offre des services financiers axés sur le mode de vie, est perturbé. Ces services incluent l’activation d’installations de téléphones mobiles, des garanties de location immobilière, et des garanties de prêts pour les institutions financières. ...

L’article publié par The DFIR Report, en collaboration avec Proofpoint, dévoile l’émergence d’une nouvelle variante du cheval de Troie d’accès à distance (RAT) utilisé par le groupe de ransomware Interlock. Cette version inédite, développée en PHP, marque une évolution notable par rapport à la version antérieure en JavaScript (Node.js), surnommée NodeSnake. 💡 Cette nouvelle souche a été identifiée dans le cadre d’une campagne active associée au cluster de menaces web-inject KongTuke (LandUpdate808), qui utilise des sites compromis pour distribuer le malware via un script dissimulé dans le HTML. Le processus d’infection repose sur une chaîne d’exécution sophistiquée, comprenant des vérifications CAPTCHA, des scripts PowerShell et l’exécution furtive de commandes système. ...

Dans un récent incident de réponse, l’équipe de Digital Forensics and Incident Response (DFIR) a découvert que le ransomware SafePay avait été déployé sur les machines des victimes. La première activité confirmée de ce ransomware remonte à septembre 2024, et depuis, le groupe responsable a intensifié ses activités, ajoutant de plus en plus de victimes à son site de fuite de données (DLS). Les cibles de ce groupe incluent à la fois le secteur public et privé à travers le monde, avec des victimes notables aux États-Unis et au Royaume-Uni. Dans le cas étudié par Proven Data, les fichiers chiffrés portaient l’extension .safepay, et la note de rançon était nommée readme_safepay.txt. ...

D’après un article publié par The Record, les responsables du comté d’Albemarle ont confirmé avoir été victimes d’une attaque par ransomware le mois dernier. Cette attaque a eu pour conséquence l’exposition des données des résidents et des employés, ainsi que la mise hors ligne de plusieurs services. L’incident a causé une perturbation significative des opérations du comté, affectant potentiellement la confidentialité et la sécurité des informations personnelles des personnes concernées. Les autorités locales travaillent actuellement à rétablir les services et à évaluer l’ampleur des dommages causés par l’attaque. ...

Selon un article publié par Reuters, l’ambassade de Russie à Paris a demandé un accès consulaire pour Daniil Kasatkin, un joueur de basketball russe arrêté en France. Cette arrestation a été effectuée à la demande des États-Unis, qui le soupçonnent d’être impliqué dans un réseau de hacking utilisant des ransomwares contre des entreprises et institutions fédérales américaines. L’avocat de Kasatkin, Belot, affirme que son client est innocent et victime d’une grave erreur judiciaire. Selon lui, Kasatkin n’aurait aucune expertise en informatique et aurait simplement utilisé un ordinateur d’occasion dont le compte utilisateur n’avait pas été modifié. Ce compte aurait été piraté et contrôlé à distance par des cybercriminels sans que Kasatkin en ait connaissance. ...

Cet article publié par un média en ligne rapporte l’arrestation de quatre individus par la National Crime Agency (NCA) au Royaume-Uni, soupçonnés d’être impliqués dans des attaques par ransomware contre le secteur de la vente au détail britannique. Les suspects incluent une femme britannique de 20 ans, un homme letton de 19 ans, un homme britannique de 19 ans et un adolescent britannique de 17 ans. Ils ont été arrêtés à leur domicile respectif, et leurs appareils électroniques ont été saisis pour une analyse médico-légale. ...

L’article publié par CyberCube met en lumière la menace croissante posée par le groupe de cybercriminels Scattered Spider. Ce groupe, connu pour ses attaques par ransomware et extorsion, représente un risque significatif pour les grandes entreprises, notamment dans les secteurs de la distribution, de l’assurance et de l’aviation. Depuis 2022, Scattered Spider a évolué pour devenir l’un des groupes les plus agressifs du paysage actuel des menaces, avec 21 incidents majeurs signalés, dont 11 entre avril et début juillet 2025. Ces attaques ont entraîné des pertes financières importantes, comme le paiement d’une rançon de 15 millions de dollars par Caesars en 2023 et des pertes de 100 millions de dollars pour MGM. ...

L’article de Bleeping Computer rapporte que Marks & Spencer (M&S) a confirmé avoir subi une attaque de ransomware. L’incident a commencé par une attaque sophistiquée d’usurpation d’identité via ingénierie sociale, permettant aux attaquants de compromettre le réseau de M&S. Cette intrusion initiale a ouvert la voie à une attaque par ransomware DragonForce. Le ransomware DragonForce est connu pour ses attaques ciblées sur les grandes entreprises, provoquant des perturbations significatives et des risques de fuite de données sensibles. ...

Morphisec, dans un article publié le 2025-07-09, dévoile la réapparition d’une menace cybernétique sophistiquée dans le sillage du conflit Israël-Iran-USA. Pay2Key.I2P, une opération de ransomware-as-a-service (RaaS) soutenue par l’Iran, a été relancée, ciblant des organisations à travers l’Occident. Ce ransomware est lié au groupe APT notoire Fox Kitten et intègre les capacités du ransomware Mimic, précédemment analysé par Morphisec. Le groupe offre désormais une part de profit de 80% aux affiliés soutenant l’Iran ou participant à des attaques contre ses ennemis, soulignant ainsi leur engagement idéologique. ...

L’article de TechRadar, publié le 4 juillet, rapporte que IdeaLab, une incubateur de startups technologiques, a confirmé avoir subi une attaque de ransomware ayant entraîné la perte de fichiers sensibles de l’entreprise. Après une enquête approfondie qui a duré presque un an, IdeaLab a envoyé une lettre de notification de violation de données aux personnes touchées, indiquant que l’attaque a probablement eu lieu le 4 octobre 2024. Les cybercriminels ont accédé au réseau de l’entreprise et ont volé des informations sensibles concernant les employés actuels et anciens, ainsi que les contractants de services de support et leurs personnes à charge. ...