Ransomware

Selon un extrait d’actualité récent, les acteurs de la menace ransomware continuent de cibler les vecteurs d’accès à distance, les réseaux privés virtuels (VPN) restant le point d’entrée le plus dominant. Cependant, on observe des changements dans la manière dont les groupes de ransomware cherchent à compromettre les VPN, en particulier à mesure que les organisations continuent d’améliorer la couverture de l’authentification multi-facteurs (MFA). Les groupes de ransomware ont été moins actifs au fur et à mesure que le trimestre progressait. Les données du site de fuites montrent une baisse de 50% de l’activité de janvier à mars. Bien que le changement d’activité puisse rendre les tendances plus significatives qu’elles ne le sont, cette baisse pourrait également être liée à un changement de tactiques. ...

Kingsmen Creatives Ltd, une entreprise de création basée à Singapour, a récemment été la cible d’une attaque par ransomware. L’incident a été immédiatement traité par le groupe en collaboration avec des experts externes pour identifier, contenir et résoudre l’incident. Le groupe a également activé son plan de continuité des activités et a signalé l’incident aux autorités compétentes, y compris la police de Singapour, la Commission de protection des données personnelles et l’Agence de cybersécurité de Singapour. Les enquêtes sur l’incident sont toujours en cours. Selon les enquêtes préliminaires, ni le groupe ni ses experts externes n’ont observé de preuves d’exfiltration de données. ...

Selon une annonce du Département de la Justice des États-Unis, Rami Khaled Ahmed, un Yéménite de 36 ans, a été inculpé pour avoir mené environ 1 500 attaques sur des serveurs Microsoft Exchange avec le ransomware ‘Black Kingdom’. Ahmed est soupçonné d’être le développeur et l’opérateur principal de ce ransomware. Il aurait déployé le malware sur des ordinateurs aux États-Unis et à l’étranger, exigeant des paiements de rançon de 10 000 $ en Bitcoin. ...

Les messages divulgués du groupe Black Basta, un successeur du groupe Conti, montrent que les membres du groupe bénéficient de la protection des autorités russes, mais restent vulnérables aux pressions internationales. Ils sont également sous pression pour travailler pour l’État russe. En mai 2024, après que Black Basta a paralysé les systèmes informatiques de l’entreprise de santé américaine Ascension Healthcare, le négociateur de rançon du groupe a réfléchi à la stratégie d’extorsion du groupe à la lumière de la politique électorale américaine. ...

L’actualité a été publiée sur le site de l’institution le 30 avril 2025. Les services informatiques de l’administration publique Ayuntamiento de Badajoz, en Espagne, ont détecté une attaque de ransomware sur leur réseau interne. Depuis la détection de l’incident, ils travaillent à la récupération du système. L’attaque de ransomware a entraîné une paralysie des délais administratifs généraux jusqu’à la récupération du système. Les services affectés ont été informés de l’incident. ...

Cette actualité fait état de l’évaluation du projet ‘Melissa’, une initiative lancée en 2022 pour renforcer la résilience numérique des Pays-Bas face aux crimes liés aux ransomwares. Ce projet est le fruit d’une collaboration entre les secteurs public et privé, incluant le Centre National de Cybersécurité (NCSC), la police, le Service Public de Poursuites (OM), l’association de l’industrie de la Cybersécurité des Pays-Bas, et des entreprises leaders en cybersécurité. L’évaluation, menée par des chercheurs de l’Université de Leiden, offre des aperçus précieux sur l’importance de telles collaborations, les facteurs contribuant à leur succès, et les défis qui se sont révélés pour le futur. Elle souligne l’importance de la collaboration intersectorielle dans la lutte contre les cybercrimes, en particulier les ransomwares, et met en lumière les défis à relever pour renforcer la résilience numérique. ...

Premièrement détecté en septembre 2024, le groupe de ransomware Nitrogen ciblait initialement les États-Unis et le Canada. Depuis, il a étendu sa portée à certaines parties de l’Afrique et de l’Europe. Le nombre de victimes connues de Nitrogen s’élève à 21, bien que de nombreuses autres ne soient probablement jamais répertoriées sur le blog public du groupe. Des indicateurs de cette famille de malwares ont été identifiés dès 2023, suggérant des liens avec d’autres infections de ransomware. Dans un cas récent non publié, les attaquants ont gagné un accès initial, se sont déplacés latéralement à travers les systèmes et ont tenté de couvrir leurs traces en effaçant les logs. L’examen des fichiers de rapport d’erreur Windows (WER) et des fichiers de vidage sur incident a révélé une configuration Cobalt Strike, un serveur d’équipe C2 Cobalt Strike et l’utilisation d’un système de pivot par l’attaquant. ...

Fuite de données chez Urban One après une attaque de type ingénierie sociale Le groupe média Urban One, leader des médias destinés à la communauté afro-américaine, a récemment confirmé une fuite de données sensibles à la suite d’une cyberattaque. Ce qu’il s’est passé Début de l’attaque : 13 février 2025 Découverte : 15 mars Confirmation de vol de données : 30 mars Mode opératoire : attaque d’ingénierie sociale sophistiquée Impact : Pas d’interruption des opérations, mais vol de données sensibles Données compromises : noms, adresses, numéros de sécurité sociale, infos de dépôt direct, formulaires W-2 Enquête et réponse L’attaque a été revendiquée le 12 mars par le groupe Cactus ransomware, connu pour utiliser des malwares via des publicités en ligne. Urban One a informé les autorités de régulation du Texas et du Massachusetts, mentionnant 355 victimes au Texas. Une surveillance de crédit gratuite pendant 2 ans est proposée aux victimes. Les forces de l’ordre ont été contactées. Contexte Urban One gère plusieurs chaînes TV, radios et sites d’info. En 2024, la société a déclaré 450 millions de dollars de revenus. Elle avait déjà subi une fuite en 2019 impliquant plus de 1 000 numéros de sécurité sociale. ...

🚨 Découverte d’une infrastructure liée au ransomware Fog En décembre 2024, les chercheurs du DFIR Report ont découvert un répertoire public exposé sur Internet, hébergeant des fichiers et scripts malveillants probablement utilisés par un affilié du groupe de ransomware Fog. 🔍 Techniques utilisées par l’attaquant L’analyse du contenu a révélé l’emploi d’une large gamme d’outils offensifs permettant de : Obtenir un accès initial via des identifiants VPN SonicWall compromis ; Voler des identifiants Windows avec DonPAPI ; Exploiter Active Directory avec Certipy, Zer0dump ou encore noPac ; Maintenir un accès persistant via AnyDesk, configuré automatiquement par script PowerShell ; Contrôler les machines via Sliver C2 et se déplacer latéralement avec Proxychains ou Powercat. 🌍 Victimes ciblées Les cibles identifiées appartenaient à des secteurs variés tels que : ...

🧱 DragonForce change de stratégie : vers un cartel du ransomware Le groupe DragonForce, déjà connu pour ses activités de ransomware, a annoncé une nouvelle stratégie organisationnelle : regrouper plusieurs acteurs cybercriminels sous un modèle de “cartel”, où chaque affilié peut agir sous sa propre marque. 💼 Un modèle RaaS à la carte DragonForce propose aux groupes affiliés de : Utiliser leur infrastructure complète (site de fuite de données, outils de négociation, hébergement du malware) Déployer le ransomware sous leur propre nom de groupe Éviter les coûts de maintenance d’une infrastructure autonome En échange, DragonForce prélève 20 % des rançons perçues, un taux plus attractif que les 30 % souvent appliqués dans les modèles classiques de Ransomware-as-a-Service (RaaS). ...