Ransomware

L’article publié le 20 juin 2025 explore les activités d’un acteur de menace connu sous le nom de Tinker, qui a rejoint le groupe de ransomware Black Basta en tant que directeur créatif en 2023. Ce rôle atypique pour un groupe de ransomware souligne l’importance des compétences de Tinker en matière de génération d’idées originales. Tinker a joué un rôle crucial dans le fonctionnement à grande échelle de Black Basta. Ses compétences incluaient l’exploitation de centres d’appels, la rédaction de contenu pour des campagnes de phishing, et l’utilisation de la coercition pour faire pression sur les victimes de ransomware. Ces capacités ont permis à Black Basta d’améliorer l’efficacité de leurs opérations malveillantes. ...

L’article publié le 19 juin 2025 relate l’extradition d’un individu vers les États-Unis, membre d’un réseau international impliqué dans la propagation du ransomware Ryuk. Ryuk est un ransomware notoire utilisé par des cybercriminels pour chiffrer les données des victimes et exiger des rançons en échange de la restauration de l’accès. Ce réseau criminel a mené plus de 2 400 cyberattaques à travers le monde, ciblant diverses organisations et infrastructures critiques. ...

L’actualité publiée le 18 juin 2025 révèle une opération de ransomware menée par six ressortissants chinois. Ces individus opéraient depuis le huitième étage d’un bâtiment, se concentrant sur l’envoi de liens malveillants à des entreprises chinoises pour déployer des ransomwares. Les preuves informatiques ont montré que ces individus étaient des employés rémunérés, ce qui suggère une organisation structurée derrière ces attaques. Leur méthode consistait à distribuer des liens infectés, permettant ainsi l’infiltration de logiciels de rançon dans les systèmes des entreprises ciblées. ...

Selon un rapport de Cybereason, le paysage des ransomwares connaît une période de réorganisation tumultueuse. Des groupes autrefois dominants comme RansomHub, LockBit, Everest et BlackLock ont récemment subi des fermetures soudaines, des échecs opérationnels et des attaques sur leurs infrastructures du dark web, révélant une instabilité profonde dans l’écosystème cybercriminel. En mars 2025, RansomHub, considéré comme le groupe de ransomwares le plus actif de 2024, a disparu sans explication. Ce groupe s’était imposé rapidement grâce à un modèle de Ransomware-as-a-Service (RaaS) bien huilé. Cependant, sa disparition subite a laissé ses victimes en pleine négociation, semant la confusion. En parallèle, d’autres sites de fuites de ransomwares ont subi des perturbations inattendues, notamment LockBit et Everest, ciblés par des acteurs anonymes se faisant appeler “XOXO from Prague”. ...

Selon un article publié par The Register, le groupe de cybercriminalité Scattered Spider a récemment ciblé des compagnies d’assurance américaines avec des attaques de ransomware. Cette alerte a été émise par le Google Threat Intelligence Group, qui a observé plusieurs intrusions portant la signature de ce groupe. Les attaques ont provoqué des pannes de système et des interruptions de service, affectant l’accès des clients aux services des compagnies d’assurance concernées. Google a mis en garde le secteur de l’assurance, le pressant de rester en état d’alerte maximale face à ces menaces. ...

L’article, publié par Trend Micro, examine l’émergence du ransomware Anubis, un groupe de ransomware-as-a-service (RaaS) qui se distingue par sa capacité à non seulement chiffrer les fichiers, mais aussi à les détruire définitivement. Anubis est actif depuis décembre 2024 et a ciblé plusieurs secteurs, notamment la santé et la construction, dans des régions comme l’Australie, le Canada, le Pérou et les États-Unis. Le groupe utilise une approche d’extorsion double, combinant le chiffrement des données avec une fonction de destruction de fichiers qui rend la récupération impossible, même si la rançon est payée. ...

La Commission européenne a annoncé un investissement de 145,5 millions d’euros pour soutenir les petites et moyennes entreprises ainsi que les administrations publiques dans le déploiement de solutions de cybersécurité. Cet investissement vise à adopter les résultats de la recherche en cybersécurité. Deux appels à propositions ont été lancés par la Compétence européenne en cybersécurité. Le premier, dans le cadre du Programme Europe numérique, dispose d’un budget de 55 millions d’euros, dont 30 millions sont spécifiquement destinés à améliorer la cybersécurité des hôpitaux et des prestataires de soins de santé. Cette initiative vise à renforcer la résilience du système de santé européen face aux menaces cybernétiques comme les ransomwares. ...

L’article publié par la société Lexfo, met en lumière un nouveau projet d’extorsion en ligne nommé World Leaks, lancé par les opérateurs du groupe de ransomware Hunters International. World Leaks a vu le jour début 2025, marquant un changement de stratégie des opérateurs de Hunters International, passant de la double extorsion avec ransomware à des attaques uniquement basées sur l’extorsion, en raison des risques accrus et de la rentabilité réduite de leurs anciennes méthodes. ...

L’article publié le 13 juin 2025 met en lumière l’émergence d’un nouveau groupe de ransomware-as-a-service (RaaS) nommé Anubis. Ce groupe a commencé à se faire connaître en 2025 grâce à des méthodes innovantes et destructrices. Anubis se distingue par sa capacité à associer le chiffrement de fichiers à des actions plus destructrices, telles que le nettoyage de répertoires, ce qui réduit considérablement les chances de récupération des fichiers affectés. Cette approche rend les attaques particulièrement dévastatrices pour les victimes. ...

L’article publié par Trellix le 12 juin 2025 explore une fuite majeure du panneau d’administration de LockBit, un groupe de ransomware notoire. Le 7 mai 2025, un acteur anonyme a piraté le site TOR de LockBit, remplaçant son contenu par un message anti-crime et divulguant une base de données SQL de leur panneau d’administration. Cette fuite, vérifiée par le Trellix Advanced Research Center, offre un aperçu détaillé des méthodes opérationnelles des affiliés de LockBit, couvrant la génération de ransomware, les négociations avec les victimes et les configurations de build. La base de données contient des informations allant de décembre 2024 à avril 2025, incluant des détails sur les organisations victimes, les logs de chat de négociation, et les portefeuilles de cryptomonnaie. ...