Ransomware

Source: BBC (BBC World Service). Dans une interview exclusive en prison menée par Joe Tidy 🎙️, Vyacheslav “Tank” Penchukov, ex-membre clé de la cyber-escène, raconte son parcours de la bande Jabber Zeus à IcedID et à l’écosystème du ransomware, livrant des détails sur les gangs, leurs méthodes et des acteurs encore en cavale, dont l’énigmatique tête présumée d’Evil Corp. Dans les années 2000, Penchukov dirige la redoutée équipe Jabber Zeus, combinant le malware bancaire Zeus et la messagerie Jabber pour voler directement sur les comptes de PME, collectivités et associations. Au Royaume-Uni, plus de 600 victimes perdent plus de £4M en trois mois. Identifié après l’interception de chats, il échappe à l’opération Trident Breach de l’FBI en Ukraine, avant de tenter une reconversion (commerce de charbon) puis de replonger, évoquant pressions financières et contexte politique (Crimée). ...

Source et contexte: Avis conjoint TLP:CLEAR des agences américaines FBI, CISA, DC3 et HHS, avec la participation d’Europol EC3, de l’Office Anti-Cybercriminalité (France), d’autorités allemandes et du NCSC-NL (Pays-Bas), mis à jour le 13 novembre 2025 dans le cadre de l’initiative #StopRansomware. 🚨 Aperçu de la menace: Les acteurs d’Akira (associés à Storm-1567, Howling Scorpius, Punk Spider, Gold Sahara, et possiblement liés à Conti) ciblent surtout les PME mais aussi de grandes organisations, avec une préférence pour les secteurs de la manufacture, éducation, IT, santé, services financiers et agroalimentaire. Depuis 2023, Akira opère sur Windows et Linux/ESXi; en juin 2025, première attaque sur Nutanix AHV via l’abus de CVE-2024-40766 (SonicWall). Fin septembre 2025, le groupe revendique environ 244,17 M$ de rançons. Des exfiltrations ont été observées en un peu plus de 2 heures après l’accès initial. Le schéma reste double extorsion. Le binaire Megazord serait probablement tombé en désuétude depuis 2024. ...

L’article rapporte une baisse marquée des paiements de rançon par les entreprises australiennes face aux attaques par ransomware. 📉 La rançon moyenne payée par les entreprises en Australie est tombée à 711 000 AUD, presque divisée par deux par rapport au pic de 1,35 million AUD l’an dernier. Cette évolution reflète des changements d’attitude parmi les dirigeants et une meilleure préparation du secteur. 💸 Les taux de paiement reculent nettement: un sondage auprès de plus de 800 propriétaires et cadres d’entreprises australiennes indique que 64 % des victimes de ransomware au cours des cinq dernières années ont payé, contre 84 % l’an passé. ...

Selon le blog Talos Intelligence (Cisco Talos), des intrusions observées en août 2025 attribuées au groupe ransomware Kraken montrent des campagnes de big‑game hunting avec double extorsion, une filiation probable avec HelloKitty et des outils et TTPs avancés visant Windows, Linux et VMware ESXi. – Qui est Kraken ? Ce groupe, apparu en février 2025, exploite la double extorsion et se montre opportuniste, sans verticales dédiées. Son site de fuite recense des victimes aux États‑Unis, Royaume‑Uni, Canada, Danemark, Panama et Koweït. Les fichiers chiffrés portent l’extension .zpsc et une note de rançon readme_you_ws_hacked.txt redirige les victimes vers une URL onion. Dans un cas, une demande d’environ 1 M$ en Bitcoin a été observée. Le groupe a annoncé un forum souterrain, The Last Haven Board, prétendant offrir un canal anonyme et sécurisé, avec un message de soutien de l’équipe HelloKitty et de WeaCorp, renforçant les liens supposés avec HelloKitty. ...

Source: CyberScoop (Matt Kapko, 7 novembre 2025). L’article détaille la plaidoirie de culpabilité d’Aleksei Olegovich Volkov, 25 ans, alias ‘chubaka.kor’, pour son rôle d’initial access broker (IAB) au sein du groupe de ransomware Yanluowang entre juillet 2021 et novembre 2022. Volkov et des co-conspirateurs ont ciblé au moins sept entreprises américaines (dont une entreprise d’ingénierie et une banque). Les victimes ont subi du vol et chiffrement de données, des attaques DDoS et des appels téléphoniques de harcèlement visant à accroître la pression. Deux victimes ont payé au total 1,5 M$ de rançon, et le montant cumulé exigé auprès des sept victimes atteignait 24 M$. Certaines organisations ont dû interrompre temporairement leurs opérations. 💥 ...

Selon l’actualité fournie, MedQ Inc., un prestataire de services administratifs pour le secteur de la santé, a accepté de régler des actions collectives liées à une attaque par ransomware survenue en décembre 2023. • Chronologie de l’incident: l’enquête a confirmé un accès non autorisé au réseau à partir du 20 décembre 2023, suivi du déploiement du ransomware aux alentours du 26 décembre 2023. L’exfiltration de données a été confirmée. • Portée et impact: l’incident a affecté 54 725 personnes. ...

Source: Inside IT (article de Hans Joerg Maron). L’IT service provider et cloud provider suisse Unico Data, fondé en 1991 à Münsingen, annonce l’arrêt de ses activités fin 2025, conséquence à long terme d’une attaque par ransomware subie en mai 2023. En mai 2023, Unico Data a été visé par le groupe Play. Quelques semaines plus tard, la bande a publié des données de clients d’Unico sur le darknet. L’entreprise a communiqué de manière très transparente sur l’incident, ce qui lui a valu un Courage Award, et son CEO de l’époque a témoigné dans un podcast d’Inside IT. ...

Selon BleepingComputer, Synnovis, un important prestataire britannique de services de pathologie, notifie les fournisseurs de soins qu’une violation de données s’est produite après une attaque par ransomware survenue en juin 2024, entraînant le vol de certaines données de patients. Contexte Synnovis, prestataire clé de services de pathologie pour plusieurs hôpitaux londoniens (via un partenariat SYNLAB – Guy’s & St Thomas’ – King’s College Hospital), a subi une attaque ransomware majeure en juin 2024, fortement perturbant les services du NHS à Londres. ...

Source : Secure Annex — billet de blog technique décrivant la découverte d’une extension Visual Studio Code publiquement listée sur le Visual Studio Marketplace, implémentant des mécanismes de type ransomware et un canal de C2 via GitHub. • Découverte et nature de la menace. L’extension « suspicious VSX » (éditeur « suspicious publisher », ID suspublisher18.susvsex) intègre des comportements de ransomware et d’extorsion. Le code montre des signes de génération via IA (« vibe coded ») et comprend notamment des outils de déchiffrement et le serveur C2 accidentellement inclus dans le paquet publié. ...

Selon un article du journal 24heures, le groupe de ransomware Clop a revendiqué sur le dark web une offensive visant notamment Logitech, à qui il impose un ultimatum de 24 heures pour éviter la divulgation de données volées. Le groupe helvético-américain basé à Lausanne «ne souhaite pas faire de commentaire à ce stade». Clop affirme détenir des «masses de données» et menace de les publier si aucune rançon n’est payée. Un expert du dark web cité estime que Clop «n’a pas l’habitude de bluffer» et évoque la possibilité que Logitech cherche à gagner du temps pour négocier. ...