Ransomware

Selon Microsoft, plus de 200 certificats numériques exploités par le groupe Vanilla Tempest (également suivi comme VICE SPIDER et Vice Society) ont été révoqués, ce qui a perturbé une campagne en cours mise au jour fin septembre. Les acteurs menaçants usurpaient des installations de Microsoft Teams afin d’infiltrer des réseaux d’entreprise et de déployer du ransomware. L’opération met en évidence l’évolution des tactiques des opérateurs de ransomware, qui détournent des logiciels à l’apparence légitime pour contourner les défenses de sécurité. 🚨 ...

Selon une annonce de la Vegetable Marketing Organisation (VMO) à Hong Kong, en date du 15 octobre 2025, une attaque par ransomware a été détectée le 13 octobre sur une partie de ses systèmes informatiques. La VMO a arrêté les opérations réseau et isolé les serveurs concernés de toute connexion externe afin d’empêcher d’autres intrusions. 🛑 Les systèmes touchés sont le système de contrôle d’accès (gate) et le système de comptabilité du marché de gros de légumes de Cheung Sha Wan. Ces systèmes contiennent des informations sur environ 7 000 utilisateurs du marché, avec une possibilité de compromission de certaines données. 📊 ...

CYFIRMA publie un rapport sectoriel sur 90 jours détaillant l’activité cyber dans l’énergie & utilities. Panorama sectoriel 📈 Le secteur se classe 12e-13e sur 14 en volume d’activité malveillante. Des campagnes APT ont touché 3 opérations sur 22 observées (14%), dans 17 pays et via des vecteurs variés. Les incidents de ransomware ont augmenté de 54% pour atteindre 43 victimes, le secteur restant toutefois relativement moins prioritaire pour les attaquants en raison de sa dépendance à l’OT. L’activité souterraine liée au secteur est restée stable (2,27% de part), dominée par les sujets fuites de données et exfiltrations. ...

Selon PolySwarm, cette analyse détaille l’évolution de LockBit 5.0, un rançongiciel plus sophistiqué et multi‑plateforme qui vise des environnements Windows, Linux et VMware ESXi avec des techniques avancées d’obfuscation et d’anti‑analyse. LockBit 5.0 présente une architecture cross‑plateforme permettant des attaques unifiées à l’échelle de l’entreprise. La variante ESXi est jugée particulièrement préoccupante car elle peut compromettre des infrastructures de virtualisation entières. Le code partage des similarités avec LockBit 4.0, confirmant une évolution itérative, et le malware intègre des « garde‑fous géopolitiques ». 🧬 ...

Selon une communication officielle de la ville de Michigan City, la perturbation du réseau constatée le 23 septembre a été confirmée comme un incident de ransomware. La ville indique que une partie des données municipales a été affectée. L’incident a également perturbé l’accès en ligne et téléphonique des employés municipaux. 🚨 Une enquête médico-légale est en cours. Une External Incident Response Team — composée de professionnels IT de Michigan City et d’agences externes — travaille à déterminer l’étendue et l’impact de l’événement. ...

Selon l’actualité fournie, Medlab Pathology a subi en février 2022 une attaque informatique avec demande de rançon attribuée au Quantum Group. Environ 86 Go de données ont été dérobées puis publiées sur le dark web quatre mois plus tard, comprenant des données personnelles et de santé de plus de 223 000 individus 🏥🔓. La maison mère, Australian Clinical Labs (ACL), a été sanctionnée par la Federal Court qui a prononcé une amende de 5,8 millions de dollars. La décision est présentée comme historique et « la première du genre ». Un commentaire officiel souligne: “This should serve as a vivid reminder to entities, particularly providers operating within Australia’s healthcare system, that there will be consequences of serious failures to protect the privacy of those individuals whose healthcare and information they hold.” ⚖️ ...

Selon Talos, en août 2025, des acteurs se réclamant du milieu Warlock ont mené une campagne de ransomware ayant fortement impacté l’environnement IT d’un client. • Les assaillants, identifiés comme « affiliés » à Warlock d’après la note de rançon et l’usage de son data leak site (DLS), ont déployé simultanément les ransomwares Warlock, LockBit et Babuk. L’objectif: chiffrer des VMware ESXi et des serveurs Windows, provoquant une interruption sévère des systèmes. ...

Sophos publie son rapport annuel « State of Ransomware in Healthcare 2025 », basé sur une enquête auprès de 292 organisations de santé, mettant en lumière des évolutions marquantes des tactiques et impacts des attaquants. – Principaux constats: le chiffrement de données ne survient plus que dans 34% des attaques (contre 74% en 2024), tandis que les attaques d’extorsion sans chiffrement montent à 12% (contre 4% en 2022). Les vulnérabilités exploitées deviennent la première cause technique des intrusions (33%), supplantant les attaques basées sur des identifiants compromis. 🔓 ...

Selon CYFIRMA, le paysage de la menace aux Émirats arabes unis a connu en 2025 une forte intensification, visant des institutions publiques, les services financiers, le secteur aérien et des plateformes numériques. — Cibles et impacts — • Fuites massives de données et ventes sur le dark web : accès non autorisé et bases exfiltrées issues d’organismes publics et d’entreprises privées. • Exemples notables : PCFC (Dubai) avec 1,94 To de données (passeports, Emirates IDs) vendus 50 000 USD ; Emirates Airlines avec 600 000 enregistrements de passagers ; Emirates NBD avec 700 000 détenteurs de cartes et des données de clients de courtage ; Lookinsure (CRM) vendu 4 000 USD (documents de prêts, paiements). ...

Selon The Record, alors qu’Asahi annonçait avoir relancé la production de sa bière Super Dry au Japon, le gang de rançongiciel Qilin a publié des captures d’écran de documents qu’il présente comme issus des réseaux internes de l’entreprise. L’information met en lumière une revendication de la part de Qilin, un groupe de cybercriminels spécialisé dans les attaques par rançongiciel. Les éléments partagés par le groupe incluent des captures d’écran de documents censés provenir de réseaux internes d’Asahi. ...