Ransomware

Le secteur de la santé : une cible privilégiée pour les ransomwares en 2025 Le secteur de la santé reste l’un des plus visés par les attaques de ransomware, en raison de la grande quantité de données sensibles qu’il héberge : informations médicales, dossiers de traitement et données financières. Le risque vital en cas d’interruption de service pousse de nombreuses organisations à payer rapidement les rançons, rendant ce secteur particulièrement attractif pour les cybercriminels. ...

Le 23 avril 2025, l’entrprise allemande Guenstiger.de GmbH a annoncé avoir été victime d’une attaque de ransomware. Cette attaque a entraîné des perturbations techniques sur son site web et dans sa communication. Les spécialistes en informatique de l’entreprise travaillent activement à la résolution de ce problème. L’entreprise a également averti ses partenaires et clients de faire preuve de vigilance en cas de réception de messages ou d’appels en son nom. Elle n’a pas été en mesure d’informer personnellement tous ses partenaires et clients de l’incident. ...

Publié le 24 avril 2025, un rapport fait état d’une attaque de ransomware sur Frederick Health Medical Group, un important prestataire de soins de santé dans le Maryland, qui a eu lieu en janvier. La conséquence de cette attaque est une violation de données qui a touché près d’un million de patients. Frederick Health Medical Group est un acteur majeur dans le domaine de la santé, ce qui rend cette attaque particulièrement préoccupante. Les détails précis de l’attaque n’ont pas encore été divulgués, mais il est clair que les conséquences sont considérables. Il reste à voir comment l’organisation répondra à cette violation de données et quelles mesures seront prises pour prévenir de futures attaques. ...

Le gang de ransomware connu sous le nom d’Interlock a revendiqué une cyberattaque sur la société de dialyse rénale DaVita. Selon l’annonce du gang, ils ont réussi à voler et divulguer des données de l’organisation. DaVita, une entreprise majeure dans le domaine de la dialyse rénale, est donc la dernière victime en date de ce type d’attaque. Le type précis de données volées n’a pas été précisé dans l’annonce. Logo du gang de ransomware Interlock ...

Selon un rapport de l’Insikt Group publié le 24 avril 2025, plusieurs acteurs malveillants utilisent un TDS malveillant, dont les groupes de ransomware Rhysida et Interlock. Rhysida, une opération sophistiquée de ransomware en tant que service, est connue pour extorquer des organisations de santé et d’autres infrastructures critiques. En 2023, le groupe a revendiqué une attaque contre Prospect Medical Holdings, entraînant le vol de plus de 500 000 numéros de sécurité sociale et perturbant les opérations de dix-sept hôpitaux et 166 cliniques. Interlock, un autre groupe de ransomware, cible principalement les organisations de santé et d’autres ‘gros poissons’ pour extorquer des paiements plus élevés grâce à des attaques à fort impact sur de grandes organisations. En décembre 2024, le groupe a revendiqué une attaque contre le Texas Tech University Health Sciences Center, volant 2,6 To de données personnelles sensibles. Interlock partage de nombreuses similitudes avec Rhysida, telles que les tactiques, les outils et les comportements de chiffrement, bien que la relation exacte entre les deux reste inconnue. ...

Selon une actualité publiée le 24 avril 2025, le FBI a signalé une augmentation des attaques de ransomware sur les infrastructures critiques en 2024. Les plaintes concernant de telles attaques ont augmenté de 9% par rapport à 2023. Les attaques de ransomware sur les infrastructures critiques ont représenté près de la moitié de toutes les plaintes de ransomware reçues par le Centre de plaintes sur les crimes Internet (IC3) du FBI en 2024. Ces informations ont été révélées par un haut responsable du cyber du FBI en prévision de la publication du rapport annuel sur les crimes Internet de l’agence, qui détaille les impacts des escroqueries et des fraudes cybernétiques dans divers secteurs et groupes démographiques. ...

Publié le 24 avril 2025, un nouvel acteur de ransomware opérant sous le nom de Gunra a récemment fait surface. Gunra prétend avoir plusieurs victimes dans les secteurs de la santé, de l’électronique et de la fabrication de boissons, comme indiqué sur leur site web onion. Dans leur activité récente, le ransomware qu’ils déploient ajoute une extension .encrt aux fichiers cryptés et laisse une note de rançon nommée r3adm3.txt dans plusieurs répertoires. L’impact de cette attaque est encore inconnu, mais le fait qu’elle cible des secteurs aussi critiques que la santé et la fabrication de boissons soulève des préoccupations sérieuses en matière de cybersécurité. La vulnérabilité exploitée par Gunra n’a pas été spécifiée. ...

Le système des écoles publiques de Baltimore a été victime d’une attaque de ransomware en février. Cette attaque a conduit au vol d’informations personnelles de milliers d’étudiants, d’enseignants et d’administrateurs. Le ransomware, un type de malware, chiffre les données de l’utilisateur et exige une rançon pour leur déchiffrement. C’est une forme d’attaque cybercriminelle en augmentation. Les détails précis de l’attaque, tels que le type de ransomware utilisé et la manière dont les attaquants ont réussi à pénétrer le système, ne sont pas encore connus. Les conséquences de cette attaque pour les personnes touchées et pour le système éducatif en général sont également incertaines. ...

PE32 est une nouvelle variante de ransomware récemment détectée, dont les capacités sont relativement basiques, mais qui présente un mode de communication inédit : l’utilisation de Telegram. Cette méthode, plus commune dans les logiciels de vol de données (stealers), est ici appliquée pour contrôler le ransomware à distance et transmettre les informations d’infection. ⚙️ Fonctionnement Une fois exécuté, PE32 : Attend une commande de l’opérateur pour déterminer l’étendue du chiffrement (soit seulement le dossier courant, soit l’ensemble du système). Cible des répertoires visibles comme le Bureau de l’utilisateur. Ajoute l’extension .pe32s aux fichiers chiffrés. Génère une note de rançon dans un dossier spécifique C:\PE32-KEY, au lieu de l’afficher directement sur le Bureau. Le comportement du malware est bruyant, ce qui signifie qu’il ne cherche pas à rester discret. Il chiffre des fichiers parfois non critiques, ce qui peut causer des alertes systèmes ou des utilitaires de réparation spontanés. ...

DaVita, une entreprise de soins de santé, a subi une attaque de ransomware, mais n’a pas révélé le nom du groupe responsable ni les détails de la demande de rançon.