Ransomware

Source : LeMagIT (Valéry Rieß-Marchive), actualité du 8 janvier 2026. Après une accalmie en 2024, les demandes d’assistance à Cybmalveillance.gouv.fr ont montré une reprise marquée en décembre 2024. En 2025, la tendance a alterné entre repli modéré (avril à août) puis nouvelle reprise, suivie d’un repli en novembre et décembre. Ces dynamiques concordent avec les revendications des cybercriminels et les constatations du MagIT. 📈🔁 Fait notable en 2025 : le nombre de dossiers ouverts par le parquet de Paris ne suit plus cette courbe. Selon des chiffres relayés par ZDNet, il y a un décrochage sensible des plaintes par rapport aux incidents réellement survenus. 📉 ...

Selon l’article, dans le contexte d’une intensification des opérations en 2024-2025, un nouveau groupe de ransomware nommé SafePay s’impose comme une menace mondiale majeure. 🔒 SafePay fonctionne à l’opposé des modèles RaaS dominants : le groupe est centralisé et fermé, gardant un contrôle strict sur l’infrastructure, les négociations et les profits. Cette approche OPSEC vise à réduire les risques de fuites de code et d’infiltration par les forces de l’ordre qui ont affecté des groupes comme LockBit et ALPHV. ...

Selon The Record (therecord.media), Sedgwick a confirmé qu’une cyberattaque touche sa filiale dédiée au secteur public, Sedgwick Government Solutions, après la revendication du groupe ransomware TridentLocker d’un vol de 3,4 Go de données publié le soir du Nouvel An. 🚨 La filiale fournit des services de gestion de sinistres et de risques à des agences fédérales sensibles, notamment le Department of Homeland Security (DHS), ICE, CBP, USCIS, le Department of Labor et la CISA. Elle intervient aussi pour des agences municipales dans les 50 États, ainsi que pour le Smithsonian et la Port Authority of New York and New Jersey. ...

Selon un communiqué du comté de Leduc publié dimanche après-midi, la collectivité a été la cible d’une attaque délibérée de type ransomware. Le comté indique avoir pris connaissance de l’incident le 25 décembre, et que l’attaque a désactivé certains systèmes informatiques. Faits marquants : Type d’attaque : ransomware 🔐 Nature : attaque délibérée Date de détection : 25 décembre Impact : désactivation de certains systèmes IT du comté Il s’agit d’une annonce d’incident, dont le but principal est d’informer le public de l’attaque et de ses effets sur les systèmes IT. ...

Selon BankInfoSecurity (article de Mathew J. Schwartz, 31 décembre 2025), plusieurs établissements financiers américains notifient des fuites de données liées à une attaque de ransomware ayant ciblé le fournisseur Marquis Software Solutions, éditeur texan de logiciels de marketing et de conformité pour plus de 700 banques et credit unions. • Nature de l’incident: une attaque de ransomware le 14 août impliquant la compromission d’un pare-feu SonicWall de Marquis. Des enquêteurs externes mandatés par Marquis ont établi que l’attaquant a pu accéder à des fichiers stockés par Marquis pour le compte de ses clients professionnels et que l’incident serait limité à l’environnement de Marquis. Les données potentiellement exposées incluent: noms, adresses, numéros de téléphone, numéros de sécurité sociale (SSN), informations de compte financier sans codes d’accès, et dates de naissance. 🚨 ...

Help Net Security publie une synthèse des tendances récentes autour du ransomware (bilan 2024 et perspectives 2025), compilant des données de plusieurs acteurs du secteur et mettant en lumière l’essor des attaques, l’usage accru de l’IA par les groupes et la baisse des paiements. • Dynamique générale: Les menaces de ransomware s’intensifient en ampleur, sophistication et impact. Les week-ends et jours fériés restent des fenêtres privilégiées pour les intrusions (moins de surveillance des systèmes d’identité). Le nombre de victimes publiées sur des sites d’extorsion a explosé (3 734 listées entre janvier et juin, +20% vs S2 2024, +67% en glissement annuel). La chute de LockBit et AlphV a créé un vide, entraînant une multiplication d’acteurs moins coordonnés et plus imprévisibles. ...

Source et contexte: Selon Cyble, le catalogue Known Exploited Vulnerabilities (KEV) de la CISA a connu en 2025 une accélération des ajouts, avec 245 nouvelles vulnérabilités, portant le total à 1 484, et une hausse des cas liés aux rançongiciels. 📈 Faits marquants 2025 245 vulnérabilités ajoutées (contre 185 en 2024 et 187 en 2023), soit +30% par rapport à la tendance 2023–2024, pour un total de 1 484 (+~20% sur l’année). 1 retrait: CVE-2025-6264 (Velociraptor Incorrect Default Permissions) pour insuffisance de preuves d’exploitation. 94 vulnérabilités plus anciennes (de 2024 et antérieures) ajoutées en 2025, soit +34% vs 2024; la plus ancienne ajoutée en 2025 est CVE-2007-0671 (Microsoft Office Excel RCE). La plus ancienne du catalogue reste CVE-2002-0367 (élévation de privilèges Windows NT/2000 smss.exe) utilisée dans des attaques par rançongiciels. Tendance récente: nouvelles vulnérabilités en forte hausse en fin d’année, pouvant se prolonger en 2026. 🚨 Vulnérabilités exploitées par des groupes de rançongiciels (2025) ...

Selon BleepingComputer (30 décembre 2025), deux ex-employés de sociétés liées à la réponse aux incidents et aux négociations de rançon ont plaidé coupable pour leur rôle d’affiliés BlackCat (ALPHV) dans des attaques menées en 2023 contre des entreprises américaines. ⚖️ Les accusés, Ryan Clifford Goldberg (33 ans, ex-responsable réponse à incident chez Sygnia) et Kevin Tyler Martin (28 ans, ex-négociateur chez DigitalMint), ont plaidé coupable de conspiration visant à entraver le commerce par extorsion. Ils seront condamnés le 12 mars 2026 et encourent jusqu’à 20 ans de prison chacun. ...

Source: Hackread (26 décembre 2025). L’article rapporte que le groupe ransomware Everest a publié sur son site de fuites du dark web une revendication d’intrusion chez Chrysler (Stellantis), avec 1 088 Go de données exfiltrées couvrant 2021–2025, dont 105+ Go liés à Salesforce. Au moment de la publication, Chrysler n’a pas confirmé et la vérification indépendante est limitée. Les échantillons et captures d’écran partagés montreraient des bases de données structurées, des feuilles de calcul internes, des arbres de répertoires et des exports CRM. Les données CRM affichées incluent des journaux d’interactions client avec noms, numéros de téléphone, e‑mails, adresses postales, détails de véhicules, ainsi que des notes de rappel et des résultats d’appels (boîte vocale, numéro erroné, rappel planifié, etc.). ...

Selon l’entreprise, un rançongiciel “Gentlemen” a provoqué une perturbation partielle des activités du Oltenia Energy Complex (CEO), tout en n’affectant pas le fonctionnement du Système énergétique national. Points clés: Type d’incident: attaque par ransomware (“Gentlemen”) Impact: activité partiellement affectée au sein du CEO Continuité: le Système énergétique national n’a pas été mis en danger Communication: information diffusée par l’entreprise samedi IOCs et TTPs: IOC: nom du rançongiciel identifié — “Gentlemen” TTPs: attaque par ransomware entraînant une perturbation opérationnelle (détails techniques non fournis) Contexte et portée: l’annonce met l’accent sur la limitation de l’impact à l’entreprise et la non-atteinte au système énergétique national ⚡🔐. ...