Ransomware

Selon Google Threat Intelligence Group (GTIG), cette rétrospective 2025 couvre 90 vulnérabilités zero‑day exploitées, met l’accent sur les techniques observées et évoque comment l’IA pourrait accélérer le paysage des vulnérabilités. 📈 Tendances clés. Pour la première fois, l’exploitation attribuée aux fournisseurs de surveillance commerciale (CSV) dépasse celle des groupes étatiques traditionnels, illustrant la démocratisation de l’accès aux zero‑days via ces vendeurs et leurs clients. Les groupes d’espionnage liés à la Chine (PRC‑nexus) demeurent toutefois les plus prolifiques parmi les acteurs étatiques (au moins 10 zero‑days, davantage qu’en 2024 mais moins qu’en 2023), ciblant surtout des équipements réseau/edge difficiles à surveiller (ex. CVE‑2025‑21590 par UNC3886, CVE‑2025‑0282 par UNC5221) et montrant une réduction du temps entre divulgation publique et exploitation de n‑days. À l’inverse de 2024, aucun zero‑day n’a été attribué à des groupes nord‑coréens en 2025. ...

Source et contexte — Sicurezza Nazionale (Relazione annuale 2026 de l’intelligence italienne). Document de référence sur la politique d’information pour la sécurité, il couvre l’année 2025 et propose des scénarios prospectifs. • Menace principale et cibles Espionnage APT de matrice étatique: activité « constante » de groupes hautement spécialisés, recevant orientations et soutien financier d’appareils gouvernementaux étrangers, focalisés sur secteurs stratégiques (notamment aérospatial, infrastructures digitales/ICT) et sur les ministères/administrations centrales. Intérêt accru pour le secteur public, y compris structures sanitaires (vol de identités/identifiants sur postes du personnel, revente sur deep/dark web et réutilisation pour d’autres intrusions). Dans le privé, repli relatif des offensives mais pression persistante sur IT/Télécoms, énergie et banques; exposition particulière des PME prises de manière opportuniste pour étendre l’« anonymisation » des attaquants. • Techniques, infrastructures et impacts ...

SecurityWeek (Eduard Kovacs, 2 mars 2026) rapporte que Madison Square Garden (MSG), la célèbre arène de New York, a confirmé avoir été touché par une fuite de données dans le cadre de la campagne de piratage visant Oracle E‑Business Suite (EBS) en 2025. Dans cette campagne, le groupe de ransomware et d’extorsion Cl0p a exploité des vulnérabilités zero-day pour accéder aux données de plus de 100 organisations clientes d’Oracle EBS. 🧩 ...

Selon Coalition, dans son 2026 Cyber Claims Report, les exigences initiales de rançon formulées par les cybercriminels ont fortement augmenté en 2025, mais la grande majorité des organisations ciblées ont choisi de ne pas payer. 📈 Coalition rapporte une hausse de 47 % d’une année sur l’autre des exigences initiales de rançon en 2025. Cet indicateur met en lumière une intensification de la pression financière exercée par les opérateurs de ransomware. ...

Selon le Halcyon Ransomware Research Center, l’administrateur de Sicarii a appelé les opérateurs pro-palestiniens et pro-régime iranien à migrer vers Baqiyat 313 Locker (BQTLock), faute de capacité à traiter l’afflux d’affiliés. BQTLock ouvre un accès RaaS gratuit via Telegram pour des actions idéologiques pro-palestiniennes, tandis que Sicarii annonce se recentrer sur l’influence hacktiviste. Analyse des acteurs et cibles: BQTLock, divulgué publiquement en juillet 2025, serait développé par les hacktivistes pro-palestiniens Liwaa Mohammad et Karim Fayad (ZeroDayX/ZeroDayX1), sous l’ombrelle Cyber Islamic Resistance. BQTLock et Sicarii sont des RaaS distincts; Sicarii redirige désormais ses affiliés vers BQTLock pour des attaques motivées idéologiquement. BQTLock pratique la double extorsion et a publié des données d’entités des secteurs hôtellerie et éducation aux Émirats arabes unis, États-Unis et Israël. Des messages récents sur les canaux Cyber Islamic Resistance montrent un intérêt pour des cibles d’infrastructures critiques et militaires, incluant des assertions de fuites d’une base de données militaire israélienne et d’une liste d’agents du Mossad. ...

Selon le Bureau du procureur fédéral des États-Unis pour le district du Maryland, un ressortissant russe a plaidé coupable devant un tribunal fédéral à Greenbelt (Maryland) dans une affaire liée au ransomware Phobos. Plaidoyer de culpabilité d’un administrateur du ransomware Phobos Contexte Un ressortissant russe, Evgenii Ptitsyn (43 ans), a plaidé coupable devant un tribunal fédéral américain pour conspiration de fraude électronique liée à l’exploitation du ransomware Phobos. Ptitsyn administrait l’infrastructure permettant : ...

Selon BleepingComputer, des acteurs de la menace liés au rançongiciel, suivis sous le nom Velvet Tempest, emploient la technique ClickFix et des utilitaires Windows légitimes pour déployer le malware DonutLoader et la porte dérobée CastleRAT. Velvet Tempest utilise ClickFix pour déployer DonutLoader et CastleRAT Contexte Le groupe cybercriminel Velvet Tempest (également suivi sous DEV-0504) a été observé utilisant la technique ClickFix et des outils Windows légitimes pour déployer les malwares DonutLoader et CastleRAT. ...

Selon Swisscybersecurity.net, l’éditeur suisse de logiciels métiers Soreco (Schwerzenbach, Zurich) confirme à Inside-IT avoir été victime d’un ransomware, tout en affirmant un impact minimal sur ses opérations et en refusant de céder aux demandes de rançon. Sur le Dark Web, le groupe nommé Bravox revendique l’attaque et affirme avoir exfiltré 118,2 Go de données (source: Ransomware.live). D’après le portail de sécurité SOCradar, cette cybercriminalité est apparue pour la première fois en janvier 2026, compte peu de victimes à date et agirait principalement pour des motifs financiers. ...

Contexte: Décision du 23 février 2026 rendue par le juge Sam A. Lindsay (United States District Court for the Northern District of Texas) dans un litige opposant CiCi Enterprises, LP à HSB Specialty Insurance Company. ⚖️ Le tribunal a jugé que l’avenant de sous‑limite ransomware ne limitait pas la responsabilité de l’assureur au titre de la couverture d’extorsion cyber, donnant raison à l’assuré. Le juge a rappelé qu’un avenant doit « dire ce qu’il veut dire » et que le tribunal ne comblera pas les vides rédactionnels au bénéfice de l’assureur. ...

Selon l’extrait d’actualité fourni (26 février 2026), des équipes de menaces nord-coréennes ont été observées utilisant le ransomware Medusa, avec des activités visant notamment le secteur de la santé américain et une cible au Moyen-Orient. 🚨 Faits saillants Nouvel outil: adoption de Medusa par des acteurs nord-coréens, en plus des souches Maui et Play déjà associées à eux. Ciblage: une attaque au Moyen-Orient attribuée à ces acteurs ; tentative infructueuse contre une organisation de santé aux États-Unis. Extorsion en cours: le site de fuites de Medusa recense des attaques contre quatre organisations de santé et à but non lucratif aux États-Unis depuis début novembre 2025. 🧠 Contexte Medusa (RaaS) ...