Ransomware

Source : INTERPOL (interpol.int) – Dans le cadre de l’opération Serengeti 2.0 menée de juin à août 2025, 18 pays africains et le Royaume‑Uni ont coordonné une vaste action contre la cybercriminalité, soutenue par des partenaires privés et des ateliers de formation ciblés. Bilan global : 1 209 arrestations, près de 88 000 victimes concernées, 97,4 M$ récupérés et 11 432 infrastructures malveillantes démantelées. Les menaces visées incluent ransomware, arnaques en ligne et Business Email Compromise (BEC). Des renseignements (IPs, domaines, serveurs C2) ont été partagés en amont pour guider les interventions. 🔐 ...

Selon Flashpoint, en 2025, les groupes de Ransomware-as-a-Service (RaaS) reconfigurent le paysage des menaces, avec une hausse de 179% des attaques d’une année sur l’autre et un recul de groupes auparavant dominants comme LockBit et BlackCat. Points clés 🔎 RaaS en forte progression, redessinant la dynamique des menaces en 2025. +179% d’attaques d’une année sur l’autre, d’après le suivi de Flashpoint. Déclin des acteurs historiques LockBit et BlackCat. Enjeux et contexte ...

Source : Microsoft Threat Intelligence. Dans une analyse technique, Microsoft décrit PipeMagic, un backdoor hautement modulaire attribué à l’acteur financier Storm-2460, observé dans des chaînes d’attaque exploitant la vulnérabilité d’élévation de privilèges Windows CLFS CVE-2025-29824 pour déployer du ransomware, avec des cibles dans l’IT, la finance et l’immobilier aux États-Unis, en Europe, en Amérique du Sud et au Moyen-Orient. 🧩 Architecture et furtivité. PipeMagic se fait passer pour une application ChatGPT Desktop open source trojanisée. Il charge dynamiquement des modules, maintient une communication C2 via un module réseau dédié et orchestre ses capacités via des listes doublement chaînées distinctes (payload, execute, network, unknown). L’IPC chiffrée via named pipes et la modularité rendent détection et analyse plus difficiles. ...

Selon un billet de l’équipe HvS IR, un incident de ransomware mené par le groupe INC Ransom a tiré parti d’une vulnérabilité FortiGate de janvier 2025 (FG-IR-24-535), dans un contexte d’attaques typiques, de vulnérabilités connues et de mauvaises configurations. Faits saillants: Les assaillants ont délibérément détruit des données. Ils ont fourni de fausses informations lors des négociations 💬. L’environnement a été entièrement chiffré en 48 heures après l’accès initial 🔐. Vecteur et conditions d’exploitation: ...

Selon canadianrecycler.ca (Toronto, Ontario), une attaque survenue le 6 août au soir a visé des entreprises utilisant le logiciel d’accès à distance SimpleHelp, touchant environ 300 recycleurs automobiles en Amérique du Nord, dont au moins quatre au Canada. • Type d’attaque: ransomware. Les victimes ont été verrouillées hors de leurs bases de données et ont reçu des notes de rançon exigeant un paiement pour restaurer l’accès. Parmi les entreprises nommées, Plazek Auto Recycling (près de Hamilton, Ontario) a découvert au matin des ordinateurs verrouillés et 30 copies identiques d’une note de rançon imprimées. L’entreprise n’a pas payé, s’appuyant sur des sauvegardes mises en place après un incident similaire en 2019, ce qui lui a permis de nettoyer le malware et de récupérer toutes ses données sauf quelques heures d’enregistrements. D’autres entreprises canadiennes citées incluent Millers Auto Recycling (Fort Erie, Ontario) et Marks Parts (Ottawa), qui ont également pu restaurer l’accès aux données. ...

Selon Numerama, le Muséum national d’Histoire naturelle (MNHN) de Paris fait face depuis fin juillet 2025 à une cyberattaque « massive » paralysant une partie de ses réseaux et outils de recherche. Révélé le 31 juillet par La Tribune, l’incident n’était toujours pas résolu au 12 août, selon le président Gilles Bloch, qui ne peut pas encore fixer de calendrier de retour à la normale. L’impact est majeur pour la communauté scientifique : des bases de données essentielles, utilisées par les chercheurs du Muséum et du centre PATRINAT, sont inaccessibles, perturbant fortement la recherche en sciences naturelles et biodiversité. 🧬 ...

Le prestataire Francelink a publie sur sa page de status (status.francelink.net) un rapport d’incident détaillant la cyberattaque subie le 28 juillet 2025 à 20h30. 🔐 Détails de l’attaque Le rapport attribue l’attaque au groupe AKIRA. Deux actions coordonnées ont été menées : chiffrement des données sur les serveurs de production et chiffrement des serveurs de sauvegarde. Les éléments disponibles indiquent une probable extraction de données conforme au mode opératoire du groupe. Environ 93 % des serveurs ont été affectés, impactant la quasi-totalité des services et des clients. ...

Selon SuspectFile (SuspectFile.com), cette interview présente Securotrop, un groupe de ransomware apparu début 2025 qui opère comme affilié RaaS sur l’écosystème Qilin, avec une image séparée et une approche sélective centrée sur l’exploitation des données exfiltrées. • Positionnement et cible: Securotrop se veut distinct par une focalisation sur l’analyse des documents exfiltrés (états financiers, P&L, listes d’actifs, clients, documents opérationnels). Le groupe affirme éviter les secteurs santé et gouvernement pour viser des cibles commerciales et maintient un blog .onion indépendant listant actuellement 10 victimes au format texte. L’objectif est de bâtir une réputation de constance dans la tenue des promesses de publication/leak. 🔎 ...

Selon Arctic Wolf, Interlock est un groupe de ransomware apparu en septembre 2024, actif en Amérique du Nord et en Europe, menant des campagnes opportunistes de double extorsion sans modèle RaaS classique. Des attaques marquantes incluent la fuite chez DaVita (plus de 200 000 patients affectés) et l’attaque ransomware contre la ville de St. Paul. 🎯 Le mode opératoire s’appuie sur des sites compromis hébergeant de faux mises à jour qui incitent les victimes, via l’ingénierie sociale ClickFix, à exécuter des commandes PowerShell malveillantes. Le backdoor PowerShell est obfusqué, assure une persistance par modifications de registre, et communique avec l’infrastructure de C2 en abusant du service TryCloudflare. ...

Huntress — Le fournisseur a publié un rapport décrivant un incident impliquant le ransomware KawaLocker (KAWA4096), une variante apparue en juin 2025, dont l’attaque a été détectée et contenue avant un impact organisationnel étendu. Le scénario débute par une compromission RDP via un compte compromis. Les attaquants déploient des utilitaires pour désactiver les outils de sécurité (notamment kill.exe et HRSword) et chargent des drivers noyau (sysdiag.sys et hrwfpdr.sys de Beijing Huorong Network Technology). Une énumération réseau est menée avec advancedportscanner.exe, suivie de tentatives de mouvement latéral via PsExec. ...