Ransomware

Selon un rapport de l’Insikt Group publié le 24 avril 2025, plusieurs acteurs malveillants utilisent un TDS malveillant, dont les groupes de ransomware Rhysida et Interlock. Rhysida, une opération sophistiquée de ransomware en tant que service, est connue pour extorquer des organisations de santé et d’autres infrastructures critiques. En 2023, le groupe a revendiqué une attaque contre Prospect Medical Holdings, entraînant le vol de plus de 500 000 numéros de sécurité sociale et perturbant les opérations de dix-sept hôpitaux et 166 cliniques. Interlock, un autre groupe de ransomware, cible principalement les organisations de santé et d’autres ‘gros poissons’ pour extorquer des paiements plus élevés grâce à des attaques à fort impact sur de grandes organisations. En décembre 2024, le groupe a revendiqué une attaque contre le Texas Tech University Health Sciences Center, volant 2,6 To de données personnelles sensibles. Interlock partage de nombreuses similitudes avec Rhysida, telles que les tactiques, les outils et les comportements de chiffrement, bien que la relation exacte entre les deux reste inconnue. ...

Selon une actualité publiée le 24 avril 2025, le FBI a signalé une augmentation des attaques de ransomware sur les infrastructures critiques en 2024. Les plaintes concernant de telles attaques ont augmenté de 9% par rapport à 2023. Les attaques de ransomware sur les infrastructures critiques ont représenté près de la moitié de toutes les plaintes de ransomware reçues par le Centre de plaintes sur les crimes Internet (IC3) du FBI en 2024. Ces informations ont été révélées par un haut responsable du cyber du FBI en prévision de la publication du rapport annuel sur les crimes Internet de l’agence, qui détaille les impacts des escroqueries et des fraudes cybernétiques dans divers secteurs et groupes démographiques. ...

Publié le 24 avril 2025, un nouvel acteur de ransomware opérant sous le nom de Gunra a récemment fait surface. Gunra prétend avoir plusieurs victimes dans les secteurs de la santé, de l’électronique et de la fabrication de boissons, comme indiqué sur leur site web onion. Dans leur activité récente, le ransomware qu’ils déploient ajoute une extension .encrt aux fichiers cryptés et laisse une note de rançon nommée r3adm3.txt dans plusieurs répertoires. L’impact de cette attaque est encore inconnu, mais le fait qu’elle cible des secteurs aussi critiques que la santé et la fabrication de boissons soulève des préoccupations sérieuses en matière de cybersécurité. La vulnérabilité exploitée par Gunra n’a pas été spécifiée. ...

Le système des écoles publiques de Baltimore a été victime d’une attaque de ransomware en février. Cette attaque a conduit au vol d’informations personnelles de milliers d’étudiants, d’enseignants et d’administrateurs. Le ransomware, un type de malware, chiffre les données de l’utilisateur et exige une rançon pour leur déchiffrement. C’est une forme d’attaque cybercriminelle en augmentation. Les détails précis de l’attaque, tels que le type de ransomware utilisé et la manière dont les attaquants ont réussi à pénétrer le système, ne sont pas encore connus. Les conséquences de cette attaque pour les personnes touchées et pour le système éducatif en général sont également incertaines. ...

PE32 est une nouvelle variante de ransomware récemment détectée, dont les capacités sont relativement basiques, mais qui présente un mode de communication inédit : l’utilisation de Telegram. Cette méthode, plus commune dans les logiciels de vol de données (stealers), est ici appliquée pour contrôler le ransomware à distance et transmettre les informations d’infection. ⚙️ Fonctionnement Une fois exécuté, PE32 : Attend une commande de l’opérateur pour déterminer l’étendue du chiffrement (soit seulement le dossier courant, soit l’ensemble du système). Cible des répertoires visibles comme le Bureau de l’utilisateur. Ajoute l’extension .pe32s aux fichiers chiffrés. Génère une note de rançon dans un dossier spécifique C:\PE32-KEY, au lieu de l’afficher directement sur le Bureau. Le comportement du malware est bruyant, ce qui signifie qu’il ne cherche pas à rester discret. Il chiffre des fichiers parfois non critiques, ce qui peut causer des alertes systèmes ou des utilitaires de réparation spontanés. ...

DaVita, une entreprise de soins de santé, a subi une attaque de ransomware, mais n’a pas révélé le nom du groupe responsable ni les détails de la demande de rançon.

Le gang de ransomware Rhysida a revendiqué le vol de 2,5 To de fichiers appartenant au Département de la qualité de l’environnement de l’Oregon. Cet incident souligne une fois de plus la menace croissante que représentent les attaques de ransomware pour les organisations de toutes tailles et de tous secteurs. Il n’est pas encore clair quelles données ont été volées, ni comment le gang a réussi à pénétrer les systèmes du département. Cependant, cet incident met en évidence l’importance de la mise en place de mesures de sécurité robustes pour protéger les données sensibles contre ce type d’attaques. ...