Ransomware

Les messages divulgués du groupe Black Basta, un successeur du groupe Conti, montrent que les membres du groupe bénéficient de la protection des autorités russes, mais restent vulnérables aux pressions internationales. Ils sont également sous pression pour travailler pour l’État russe. En mai 2024, après que Black Basta a paralysé les systèmes informatiques de l’entreprise de santé américaine Ascension Healthcare, le négociateur de rançon du groupe a réfléchi à la stratégie d’extorsion du groupe à la lumière de la politique électorale américaine. ...

L’actualité a été publiée sur le site de l’institution le 30 avril 2025. Les services informatiques de l’administration publique Ayuntamiento de Badajoz, en Espagne, ont détecté une attaque de ransomware sur leur réseau interne. Depuis la détection de l’incident, ils travaillent à la récupération du système. L’attaque de ransomware a entraîné une paralysie des délais administratifs généraux jusqu’à la récupération du système. Les services affectés ont été informés de l’incident. ...

Cette actualité fait état de l’évaluation du projet ‘Melissa’, une initiative lancée en 2022 pour renforcer la résilience numérique des Pays-Bas face aux crimes liés aux ransomwares. Ce projet est le fruit d’une collaboration entre les secteurs public et privé, incluant le Centre National de Cybersécurité (NCSC), la police, le Service Public de Poursuites (OM), l’association de l’industrie de la Cybersécurité des Pays-Bas, et des entreprises leaders en cybersécurité. L’évaluation, menée par des chercheurs de l’Université de Leiden, offre des aperçus précieux sur l’importance de telles collaborations, les facteurs contribuant à leur succès, et les défis qui se sont révélés pour le futur. Elle souligne l’importance de la collaboration intersectorielle dans la lutte contre les cybercrimes, en particulier les ransomwares, et met en lumière les défis à relever pour renforcer la résilience numérique. ...

Premièrement détecté en septembre 2024, le groupe de ransomware Nitrogen ciblait initialement les États-Unis et le Canada. Depuis, il a étendu sa portée à certaines parties de l’Afrique et de l’Europe. Le nombre de victimes connues de Nitrogen s’élève à 21, bien que de nombreuses autres ne soient probablement jamais répertoriées sur le blog public du groupe. Des indicateurs de cette famille de malwares ont été identifiés dès 2023, suggérant des liens avec d’autres infections de ransomware. Dans un cas récent non publié, les attaquants ont gagné un accès initial, se sont déplacés latéralement à travers les systèmes et ont tenté de couvrir leurs traces en effaçant les logs. L’examen des fichiers de rapport d’erreur Windows (WER) et des fichiers de vidage sur incident a révélé une configuration Cobalt Strike, un serveur d’équipe C2 Cobalt Strike et l’utilisation d’un système de pivot par l’attaquant. ...

Fuite de données chez Urban One après une attaque de type ingénierie sociale Le groupe média Urban One, leader des médias destinés à la communauté afro-américaine, a récemment confirmé une fuite de données sensibles à la suite d’une cyberattaque. Ce qu’il s’est passé Début de l’attaque : 13 février 2025 Découverte : 15 mars Confirmation de vol de données : 30 mars Mode opératoire : attaque d’ingénierie sociale sophistiquée Impact : Pas d’interruption des opérations, mais vol de données sensibles Données compromises : noms, adresses, numéros de sécurité sociale, infos de dépôt direct, formulaires W-2 Enquête et réponse L’attaque a été revendiquée le 12 mars par le groupe Cactus ransomware, connu pour utiliser des malwares via des publicités en ligne. Urban One a informé les autorités de régulation du Texas et du Massachusetts, mentionnant 355 victimes au Texas. Une surveillance de crédit gratuite pendant 2 ans est proposée aux victimes. Les forces de l’ordre ont été contactées. Contexte Urban One gère plusieurs chaînes TV, radios et sites d’info. En 2024, la société a déclaré 450 millions de dollars de revenus. Elle avait déjà subi une fuite en 2019 impliquant plus de 1 000 numéros de sécurité sociale. ...

🚨 Découverte d’une infrastructure liée au ransomware Fog En décembre 2024, les chercheurs du DFIR Report ont découvert un répertoire public exposé sur Internet, hébergeant des fichiers et scripts malveillants probablement utilisés par un affilié du groupe de ransomware Fog. 🔍 Techniques utilisées par l’attaquant L’analyse du contenu a révélé l’emploi d’une large gamme d’outils offensifs permettant de : Obtenir un accès initial via des identifiants VPN SonicWall compromis ; Voler des identifiants Windows avec DonPAPI ; Exploiter Active Directory avec Certipy, Zer0dump ou encore noPac ; Maintenir un accès persistant via AnyDesk, configuré automatiquement par script PowerShell ; Contrôler les machines via Sliver C2 et se déplacer latéralement avec Proxychains ou Powercat. 🌍 Victimes ciblées Les cibles identifiées appartenaient à des secteurs variés tels que : ...

🧱 DragonForce change de stratégie : vers un cartel du ransomware Le groupe DragonForce, déjà connu pour ses activités de ransomware, a annoncé une nouvelle stratégie organisationnelle : regrouper plusieurs acteurs cybercriminels sous un modèle de “cartel”, où chaque affilié peut agir sous sa propre marque. 💼 Un modèle RaaS à la carte DragonForce propose aux groupes affiliés de : Utiliser leur infrastructure complète (site de fuite de données, outils de négociation, hébergement du malware) Déployer le ransomware sous leur propre nom de groupe Éviter les coûts de maintenance d’une infrastructure autonome En échange, DragonForce prélève 20 % des rançons perçues, un taux plus attractif que les 30 % souvent appliqués dans les modèles classiques de Ransomware-as-a-Service (RaaS). ...

Le secteur de la santé : une cible privilégiée pour les ransomwares en 2025 Le secteur de la santé reste l’un des plus visés par les attaques de ransomware, en raison de la grande quantité de données sensibles qu’il héberge : informations médicales, dossiers de traitement et données financières. Le risque vital en cas d’interruption de service pousse de nombreuses organisations à payer rapidement les rançons, rendant ce secteur particulièrement attractif pour les cybercriminels. ...

Le 23 avril 2025, l’entrprise allemande Guenstiger.de GmbH a annoncé avoir été victime d’une attaque de ransomware. Cette attaque a entraîné des perturbations techniques sur son site web et dans sa communication. Les spécialistes en informatique de l’entreprise travaillent activement à la résolution de ce problème. L’entreprise a également averti ses partenaires et clients de faire preuve de vigilance en cas de réception de messages ou d’appels en son nom. Elle n’a pas été en mesure d’informer personnellement tous ses partenaires et clients de l’incident. ...

Publié le 24 avril 2025, un rapport fait état d’une attaque de ransomware sur Frederick Health Medical Group, un important prestataire de soins de santé dans le Maryland, qui a eu lieu en janvier. La conséquence de cette attaque est une violation de données qui a touché près d’un million de patients. Frederick Health Medical Group est un acteur majeur dans le domaine de la santé, ce qui rend cette attaque particulièrement préoccupante. Les détails précis de l’attaque n’ont pas encore été divulgués, mais il est clair que les conséquences sont considérables. Il reste à voir comment l’organisation répondra à cette violation de données et quelles mesures seront prises pour prévenir de futures attaques. ...