Ransomware

Source : Blog Barracuda (article du 07/11/2025). Contexte : présentation du groupe Nitrogen et de son évolution, basée sur observations ouvertes et analyses internes, avec un focus sur l’identité, l’implant technique et les méthodes de distribution. L’article décrit Nitrogen comme un acteur de ransomware à motivation financière, identifié depuis 2023, passé d’un rôle de développeur/opérateur de loader à une opération d’extorsion plus complète. Le branding du groupe est minimaliste et peu révélateur, suggérant un manque d’intérêt pour la notoriété publique ou une facilité de rebranding, mais ces éléments demeurent spéculatifs. ...

Selon l’extrait d’actualité fourni, Aleksei Olegovich Volkov (25 ans), alias “chubaka.kor”, a plaidé coupable à plusieurs chefs d’accusation liés à des attaques par ransomware. Points clés : Rôle : Initial Access Broker (IAB) pour le groupe Yanluowang. Période : juillet 2021 – novembre 2022, alors qu’il vivait en Russie. Cibles : sept entreprises américaines ; deux ont versé un total de 1,5 M$ 💰. Peine maximale encourue : jusqu’à 53 ans d’emprisonnement ⚖️. Contexte opérationnel : ...

Selon Google Cloud (rapport « Cybersecurity Forecast 2026 »), ce panorama rassemble des tendances observées en 2025 et projette les menaces majeures de 2026, couvrant l’IA offensive/défensive, la cybercriminalité, l’OT/ICS et les opérations de Russie, Chine, Iran et Corée du Nord. • IA et menace émergente: Les acteurs adopteront massivement l’IA pour accélérer les opérations (social engineering, opérations d’influence, développement de malware). Les agents IA automatiseront des étapes entières d’attaque. Les attaques de prompt injection visant à détourner les modèles et leurs garde-fous devraient augmenter. Le vishing intégrera la clonage de voix pour des usurpations réalistes, tandis que l’IAM devra évoluer vers une gestion d’identités agentiques. 🧠🤖 ...

D’après l’extrait fourni, les procureurs affirment que des employés de DigitalMint (basée à River North, Chicago), société spécialisée dans la négociation de rançons en cas d’attaque, ont mis en place leur propre stratagème d’extorsion visant plusieurs entreprises. ⚖️ Des employés d’une société anti-ransomware impliqués dans leurs propres cyberattaques, selon le FBI Le FBI a révélé qu’au moins deux employés de la société DigitalMint, basée à Chicago, spécialisée dans la négociation de rançons lors d’attaques informatiques, auraient participé à une série de cyberattaques par ransomware afin de s’enrichir personnellement. Les suspects auraient extorqué plus d’un million de dollars à plusieurs entreprises américaines entre mai 2023 et avril 2025. ...

Selon SecurityWeek (article d’Ionut Arghire, mis à jour le 31 octobre 2025), Conduent a commencé à notifier plus de 10 millions de personnes que leurs informations personnelles ont été volées lors d’un incident découvert en janvier 2025, après des perturbations ayant touché des agences gouvernementales de plusieurs États américains. 📅 Chronologie et périmètre de l’incident Accès initial au réseau : 21 octobre 2024. Perturbations confirmées publiquement : fin janvier 2025 (agences gouvernementales dans plusieurs États). Notification à la SEC : avril 2025 (vol de données confirmé). Éviction des attaquants : 13 janvier 2025 (après identification de l’attaque). Démarrage des notifications aux personnes concernées et aux procureurs généraux d’États : fin octobre 2025. 🧾 Données compromises et impact ...

Selon Trend Micro, cette analyse détaille l’évolution et les techniques de DragonForce (Water Tambanakua), un ransomware-as-a-service qui a muté d’un usage des builders LockBit 3.0 en 2023 vers un modèle de « cartel » RaaS en 2025. Le groupe propose aux affiliés jusqu’à 80% des rançons et fournit des payloads multivariants pour Windows, Linux, ESXi et NAS, ainsi que des outils avancés dont des services d’analyse de données pour l’extorsion. Des liens avec Scattered Spider, RansomHub et d’autres acteurs sont évoqués, suggérant un écosystème complexe. 🐉 ...

D’après l’extrait fourni, un homme ukrainien extradé d’Irlande a effectué sa première comparution dans le Middle District of Tennessee au sujet d’une inculpation de 2023 liée au ransomware Conti. Les documents judiciaires allèguent qu’entre 2020 et juin 2022, Oleksii Oleksiyovych Lytvynenko (43 ans, résidant à Cork, Irlande) a conspiré avec d’autres pour déployer le ransomware Conti, infecter des ordinateurs et réseaux, chiffrer les données et exiger des rançons afin de restaurer l’accès et d’éviter la divulgation publique d’informations volées. ...

Selon NEWS10, la ville de Gloversville (État de New York) a annoncé samedi avoir été victime d’une attaque par ransomware, après la découverte d’une note de rançon numérique le 14 mars par la commissaire aux finances. Type d’incident: attaque par ransomware avec note de rançon découverte le 14 mars. Exigence initiale: 300 000 $, réduite après négociation à 150 000 $. Décision: la ville a approuvé le paiement au « Threat Actor Group » sur recommandation des équipes juridiques et de sécurité. Résultat déclaré: données volées récupérées et déchiffrées. Éléments clés: ...

Selon The Record from Recorded Future News, l’opérateur public suédois Svenska kraftnät (transport d’électricité) enquête sur une possible fuite de données après qu’un gang de ransomware a menacé de divulguer des informations internes. L’incident concerne un outil externe de transfert de fichiers et n’a pas perturbé l’approvisionnement en électricité ⚡. Le CISO Cem Göcgören indique que l’organisation a pris des mesures immédiates et que l’alimentation électrique n’a pas été affectée. L’évaluation actuelle conclut que les systèmes critiques ne sont pas touchés 🛡️. ...

Selon Trustwave SpiderLabs, une analyse des menaces 2024-2025 montre une intensification des attaques visant le secteur public américain. Le rapport recense plus de 117 entités gouvernementales US affectées par des ransomwares, une augmentation de 140% des attaques de callback phishing (TOAD), et des campagnes d’usurpation d’identité visant des autorités de transport et la Social Security Administration (SSA). Les vecteurs majeurs incluent l’exploitation de systèmes hérités, la compromission de comptes email gouvernementaux pour la diffusion de phishing, l’abus de plateformes légitimes (comme DocuSign et GovDelivery) et des activités d’États-nations. Le secteur public reste attractif du fait de bases de PII précieuses, d’un potentiel de perturbation opérationnelle, et de budgets cybersécurité limités. 🚨 ...