Ransomware

Selon l’extrait d’actualité fourni, des cas récents montrent l’abus de l’outil open source Cyberduck par des acteurs du ransomware Qilin pour l’exfiltration de données. Les attaquants tirent parti de services cloud légitimes pour l’exfiltration 📤, ce qui leur permet de camoufler leurs activités au sein de domaines de confiance et de trafic web légitime. Un artefact clé mentionné est le fichier d’historique Cyberduck, qui indique l’usage d’un hôte Backblaze comme destination ainsi que l’activation d’un paramètre personnalisé de téléversements fractionnés/multipart afin de transférer de gros fichiers ☁️. ...

Source: ENISA (European Union Agency for Cybersecurity) — Contexte: publication de l’ENISA Threat Landscape 2024 (période couverte: juillet 2023 à juin 2024, sortie en septembre 2024). Le rapport met en avant 7/8 menaces « prime » avec les menaces contre la disponibilité (DDoS) et le ransomware en tête, suivis des menaces contre les données, malwares, ingénierie sociale, manipulation de l’information et chaîne d’approvisionnement. ENISA indique avoir observé 11 079 incidents (dont 322 visant plusieurs États membres), avec une hausse notable des événements dans l’UE au 1er semestre 2024. ...

Source: Check Point Blog (Check Point Research), 23 octobre 2025. Contexte: après la disruption d’«Operation Cronos» début 2024, le groupe de ransomware LockBit réapparaît, relance son modèle RaaS et extorque déjà de nouvelles victimes. • Retour confirmé et nouvelles victimes 🚨: CPR indique que LockBit est de nouveau opérationnel et a ciblé une douzaine d’organisations en septembre 2025. Environ la moitié des cas impliquent la nouvelle variante LockBit 5.0 (« ChuongDong »), le reste étant attribué à LockBit Black. ...

Source: LeMagIT (Valéry Rieß-Marchive). Contexte: à la suite d’une enquête de Le Monde et Die Zeit évoquant un « Group 78 » qui aurait orchestré des fuites pour déstabiliser le gang de rançongiciel Black Basta, LeMagIT détaille comment une source anonyme, « Mikhail », l’a contacté fin 2024 avec des informations sur le supposé leader (« Tramp »/Oleg Nefedov). Le 16 décembre 2024, « Mikhail » contacte l’auteur via X pour révéler l’identité du chef de Black Basta, groupe apparu au printemps 2022, héritier de la nébuleuse Conti. Le journaliste, qui suivait déjà les flux Bitcoin liant Conti et Black Basta, entame des échanges par e‑mail et monte, avec d’autres experts (HUMINT et cybercriminalité), un canal sécurisé éphémère pour valider les informations. ...

Selon Intel 471, des responsables européens ont révélé l’existence d’un task force secret du FBI nommé « Group 78 », dédié à la perturbation de groupes de ransomware russes — en particulier Black Basta — via des opérations clandestines. Le groupe viserait à désorganiser les membres en Russie et à retourner le pays contre les cybercriminels. La même source rappelle que Black Basta a extorqué au moins 100 M$ depuis avril 2022 et qu’une fuite en février 2025 de 200 000 messages de chat a exposé sa structure, ses TTPs et l’identité de membres. Ces révélations auraient tendu les relations entre autorités américaines et européennes en raison de méthodes opérationnelles et d’implications juridiques. ...

Selon un communiqué publié sur le site web d’Askul, l’entreprise fait face à une infection par ransomware entraînant une panne système. En conséquence, les opérations de réception des commandes et les expéditions sont suspendues. Askul indique enquêter sur l’étendue des impacts, y compris une éventuelle fuite de données (informations personnelles et données clients), et promet de communiquer dès que des éléments seront disponibles. Points clés: Type d’incident: ransomware Impact opérationnel: arrêt des commandes et des expéditions Données potentiellement concernées: informations personnelles et données clients (sous enquête) Statut: investigation en cours ; informations à venir IOCs et TTPs: ...

Selon l’extrait d’actualité fourni, le rançongiciel Warlock est attribué à un acteur basé en Chine et présente des liens avec des activités malveillantes remontant à 2019. Warlock est décrit comme une menace inhabituelle car, à la différence de nombreuses opérations de ransomware souvent associées à la CEI, il semble être utilisé par un groupe basé en Chine 🇨🇳. Bien que son nom soit nouveau (apparition en juin 2025), des connexions avec des activités antérieures et variées sont mentionnées. ...

Selon la Polícia Federal (Brésil), une opération nommée Decrypt a été déclenchée vendredi 17/10 pour enquêter sur des attaques ransomware menées par une organisation criminelle transnationale. 🚓 L’opération comprend l’exécution de deux mandats de perquisition et saisie dans l’État de Minas Gerais et un mandat de perquisition ainsi qu’**un mandat d’**arrestation temporaire dans l’État de São Paulo. 🔐 L’enquête vise à éclaircir la participation d’un citoyen brésilien au sein d’un groupe spécialisé dans les attaques de type ransomware — une intrusion des systèmes, chiffrement des données, puis exigence de rançon, généralement en cryptomonnaies, pour la libération des informations. ...

Selon le blog BushidoToken (référence fournie), l’ICO a sanctionné Capita d’une amende de 14 M£ à la suite d’une attaque BlackBasta en mars 2023 ayant compromis plus de 6 millions d’enregistrements, pour un coût de remédiation pouvant atteindre 20 M£. L’analyse met en lumière des failles systémiques (alertes manquées pendant 58 heures, SOC sous-doté, segmentation AD insuffisante, recommandations de tests d’intrusion non mises en œuvre) et en tire des enseignements concrets pour les équipes sécurité. ...

Selon l’Information Technology - Information Sharing and Analysis Center (IT-ISAC), l’activité ransomware a atteint 1 417 attaques au T3 2025, avec une concentration sur les secteurs Manufacturier critique, Installations commerciales et Technologies de l’information. 📈 Contexte et tendance: après une forte hausse en 2024 sur le second semestre (de 503 au T2 à 931 au T3, puis 1 537 au T4), 2025 montre un schéma similaire. Les deux premiers trimestres 2025 ont reculé de 1 537 (T1) à 1 288 (T2), avant de repartir à 1 417 (T3), suggérant une reprise de la dynamique en fin d’année. ...