Ransomware

📉 173 revendications cette semaine (-63, -26.7% par rapport à S17) Période : 27.04.2026 au 03.05.2026 Analyse Ransomware – Semaine 18 2026 (27.04 – 03.05.2026) Source : eCrime.ch — Données basées sur les revendications publiées sur les sites d’extorsion des groupes ransomware. Vue d’ensemble La semaine 18 de 2026 enregistre 173 revendications d’attaques par rançongiciel, soit une baisse de 63 cas par rapport à la semaine précédente (S17 : 236 revendications), représentant un recul de 26,7 %. Cette diminution est notable mais doit être interprétée avec prudence : les volumes hebdomadaires sont soumis à des variations régulières, notamment en lien avec les cycles de publication des groupes actifs. ...

📰 Contexte Source : biv.com, publiée le 1er mai 2026. L’article couvre la certification judiciaire d’une action collective au Canada (Colombie-Britannique) en lien avec une attaque ransomware subie par la South Coast B.C. Transportation Authority (TransLink) le 1er décembre 2020. 🎯 Incident Le 1er décembre 2020, le personnel informatique de TransLink a découvert que des cybercriminels avaient compromis leur réseau IT. L’attaque a débuté par une tentative de phishing réussie ciblant un employé d’une filiale opérationnelle de TransLink, permettant aux attaquants d’accéder au réseau et d’y déployer un ransomware. ...

🗓️ Contexte Source : Aviation Business News — Article publié le 29 avril 2026. L’information repose sur une déclaration officielle de Stelia North America confirmant l’incident. 🎯 Nature de l’incident Stelia North America, entité détenue par Airbus Atlantic, a été victime d’une attaque de type ransomware. L’entreprise a confirmé l’incident dans un communiqué officiel. 🛡️ Réponse à l’incident Dès la détection, les mesures suivantes ont été activées : Activation des protocoles de cyberdéfense Isolation des systèmes affectés Lancement d’une investigation forensique complète avec des experts externes en cybersécurité 📌 Périmètre d’impact Selon la déclaration de Stelia, l’incident est strictement contenu à l’environnement IT de Stelia North America et n’impacte pas le réseau Airbus Atlantic dans son ensemble. ...

🗓️ Contexte Source : Ars Technica, article de Dan Goodin publié le 29 avril 2026. L’article relate une série d’incidents en cascade sur une période de 40 jours, impliquant plusieurs entreprises de cybersécurité et deux groupes d’attaquants distincts. 🔗 Chronologie des incidents 19 mars 2026 : Compromission du compte GitHub de Trivy, scanner de vulnérabilités open source. Le groupe TeamPCP pousse du malware vers les utilisateurs de Trivy, dont Checkmarx. Le malware cible des tokens de dépôts, clés SSH et autres credentials. 23 mars 2026 : Le compte GitHub de Checkmarx est compromis à son tour et commence à distribuer du malware à ses propres utilisateurs. Checkmarx détecte et tente de remédier à la brèche. 30 mars 2026 : Date de la donnée exfiltrée et ultérieurement publiée par Lapsu$, indiquant que l’accès persistait malgré les tentatives de remédiation. 22 avril 2026 : Nouvelle vague de malware poussée depuis le compte GitHub de Checkmarx. Le dépôt Docker Hub officiel Checkmarx/kics publie également des packages malveillants. Bitwarden est aussi touché : un package malveillant est distribué via npm (@bitwarden/cli@2026.4.0) entre 17h57 et 19h30 (ET). Fin avril 2026 : Lapsu$ publie des données privées de Checkmarx sur le dark web. 🎯 Victimes et vecteurs Trivy : point d’entrée initial (compte GitHub compromis) Checkmarx : victime de la supply-chain Trivy, puis vecteur de distribution vers ses propres clients ; victime de fuite de données par Lapsu$ Bitwarden : victime de la même campagne, via le package npm @bitwarden/cli@2026.4.0 👥 Acteurs de la menace TeamPCP : groupe access-broker, responsable de la compromission de Trivy et de la collecte de credentials. Cible prioritairement les outils disposant d’accès privilégiés. Lapsu$ : groupe ransomware, principalement composé de jeunes adultes, connu pour ses intrusions dans de grandes entreprises et ses provocations publiques. A acquis les accès de Checkmarx auprès de TeamPCP. 🔧 Infrastructure commune Selon la société Socket, le payload utilisé contre Bitwarden partage le même endpoint C2 et la même infrastructure core que le malware utilisé contre Checkmarx, établissant le lien avec la campagne Trivy. ...

🗞️ Contexte Article publié le 1er mai 2026 par The Register (Carly Page). Il rapporte l’exploitation active d’une vulnérabilité critique dans cPanel et WHM, l’un des panneaux de gestion d’hébergement web les plus répandus au monde, ainsi que dans WP Squared, une couche de gestion WordPress construite sur la même plateforme. 🔍 Vulnérabilité CVE-2026-41940 — score CVSS 9.8 (critique) Affecte toutes les versions supportées de cPanel/WHM postérieures à la version 11.40, ainsi que WP Squared Un exploit réussi permet la prise de contrôle totale du serveur Le patch a été publié par cPanel un mardi ; l’exploitation était déjà en cours avant cette date CISA a ajouté la faille à son catalogue Known Exploited Vulnerabilities (KEV) le jeudi suivant 📅 Chronologie de l’exploitation 23 février 2026 : premières tentatives d’exploitation observées par l’hébergeur KnownHost (déclaration du CEO Daniel Pearson sur Reddit) Avant le patch : exploitation confirmée en conditions réelles Post-patch : CISA confirme l’exploitation active ; Namecheap a temporairement bloqué l’accès à cPanel/WHM en attendant les correctifs 💥 Impact observé Un propriétaire de petite entreprise a signalé sur Reddit avoir été victime d’une attaque ransomware suite à l’exploitation de cette vulnérabilité sur une configuration cPanel standard Demande de rançon : 7 000 $ pour déverrouiller les systèmes L’hébergeur de la victime semblait débordé par l’incident Rapid7, via Shodan, a identifié environ 1,5 million d’instances cPanel exposées sur Internet cPanel sous-tend l’hébergement de dizaines de millions de sites web 🎯 Profil des cibles Hébergeurs web et leurs clients Petites structures dépendant de fournisseurs d’hébergement mutualisé Sites WordPress gérés via WP Squared 📄 Nature de l’article Article de presse spécialisée relatant une annonce d’incident en cours, combinant des éléments de rapport d’exploitation active, de réponse des hébergeurs et de témoignages de victimes. But principal : informer sur l’étendue de l’exploitation et l’urgence de la situation. ...

📰 Source : woodtv.com — Date de publication : 28 avril 2026 🏛️ La Kent District Library (KDL), réseau de bibliothèques publiques du comté de Kent (Michigan, États-Unis), a officiellement confirmé que la fermeture de l’ensemble de ses agences est consécutive à un événement ransomware. 🔍 L’organisation indique avoir récemment découvert l’incident et avoir immédiatement lancé une investigation pour déterminer la nature et l’étendue complète de l’attaque. Un email a été envoyé aux usagers de la KDL le lundi soir pour les informer de la situation. ...

🌐 Contexte Publié le 28 avril 2026 par Europol (European Union Agency for Law Enforcement Cooperation), l’Internet Organised Crime Threat Assessment (IOCTA) 2026 constitue l’évaluation annuelle la plus complète des cybermenaces pesant sur l’Union européenne. Le rapport s’intitule « How encryption, proxies and AI are expanding cybercrime » et couvre les développements observés principalement en 2025. 🎯 Principaux vecteurs de menace identifiés Ransomware Plus de 120 familles de ransomware actives observées par Europol en 2025 Modèle RaaS (Ransomware-as-a-Service) dominant, avec fragmentation croissante des opérations Groupes notables : Qilin, Akira, LockBit (tentatives de rebond avec LockBit 5.0), DragonForce, BlackBasta, Cl0p, Play, Fog En septembre 2025, une coalition DragonForce + LockBit + Qilin annoncée sur le dark web Tactiques d’extorsion multi-couches : exfiltration de données, DDoS simultanés, cold-calling, pression psychologique Shift de l’extorsion : de la demande de déchiffrement vers la menace de publication des données Fraude en ligne (OFS) Fraude représentant la zone de croissance la plus rapide de la criminalité organisée Typologies principales : fraude à l’investissement (crypto), BEC, romance scam, tech support fraud, fraude aux paiements Usage massif de SIM boxes / SIM farms (ex : réseau letton de 7 individus, 1 200 dispositifs, 40 000 SIM cards, 49 millions de comptes créés) Montée des IMSI catchers et SMS blasters pour contourner les protocoles KYC Drainers de cryptomonnaies maturés en système CaaS (acquisition d’Inferno Drainer par Angel Drainer en octobre 2024) Attaques relay sur terminaux de paiement en hausse dans l’UE Adoption de l’IA générative pour personnaliser l’ingénierie sociale, scripts d’appel, chatbots de pré-sélection des victimes Infrastructure criminelle Dark web : fragmentation des marketplaces généralistes, émergence de plateformes spécialisées Démantèlement d’Archetyp Market (600 000 utilisateurs, EUR 250M de transactions, juin 2025) ; émergence de BlackOps, TorZon, Nexus Market DarkForums successeur de BreachForums Bullet-proof hosting (BPH) avec sous-location multi-juridictionnelle Proxies résidentiels pour masquer le trafic malveillant Abus DNS pour phishing, C2 de botnets, distribution de malwares Démantèlement de Cryptomixer (EUR 1,3 milliard en Bitcoin mixés depuis 2016, novembre 2025) Montée des privacy coins, chain-hopping, bridges blockchain, DEX, coinjoin pour le blanchiment Menaces hybrides et DDoS Acteurs étatiques utilisant des réseaux cybercriminels comme proxies pour des opérations de déstabilisation NoName057(16) : réseau pro-russe ciblant gouvernements et entreprises, démantelé partiellement lors de l’Opération Eastwood (juillet 2025, 19 pays impliqués) DDoS lors du Sommet OTAN de La Haye (juin 2025) Coalition Scattered LAPSUS$ Hunters (SLSH) : Scattered Spider + ShinyHunters + LAPSUS$ (annoncée août 2025) Exploitation sexuelle des enfants en ligne (CSAM) Kidflix démantelé (1,8M utilisateurs, 80 000 vidéos, 1 400 suspects identifiés, 39 enfants protégés) Hausse de 70% des signalements de sextorsion financière (NCMEC, H1 2025 vs H1 2024) CSAM généré par IA en forte progression (modèles text-to-image, text-to-video, image-to-image) Réseau The Com : communautés en ligne mêlant CSE, cyberattaques, extorsion, violence extrême Plateforme Help4U lancée par Europol en novembre 2025 pour soutenir les victimes mineures 🔧 Opérations de police majeures citées Opération Endgame : démantèlement de Smokeloader, Bumblebee, Lactrodectus, Qakbot, Hijackloader, DanaBot, Trickbot, Warmcookie, Rhadamantys, VenomRAT, Elysium botnet Phobos/8Base : arrestation de 4 ressortissants russes, avertissement de 400 entreprises Cryptomixer.io : saisie de EUR 25M en cryptomonnaies, 12 To de données Archetyp Market : arrestation de l’administrateur à Barcelone NoName057(16) : Opération Eastwood, 9 arrestations, +100 serveurs perturbés Réseau SIM box letton : 7 arrestations (octobre 2025) CSAM IA : 25 arrestations mondiales, 273 suspects identifiés 📋 Type d’article Il s’agit d’un rapport stratégique annuel publié par Europol, destiné aux décideurs stratégiques, politiques et opérationnels des autorités répressives de l’UE. Son but principal est de fournir une évaluation structurée et factuelle du paysage des cybermenaces pour orienter les priorités opérationnelles et politiques en matière de lutte contre la cybercriminalité. ...

🔍 Contexte Publié le 27 avril 2026 par Kirk sur derp.ca, cet article présente une analyse technique détaillée de M3rx, un nouveau groupe ransomware apparu publiquement fin avril 2026. RansomLook recense six posts associés à ce groupe au 27 avril 2026, dont cinq publiés le 26 avril. PurpleOps référence la même activité sous le label M3RXDLS. 🎯 Victimes revendiquées Le groupe revendique des victimes dans plusieurs pays : rotak.it (IT) — 23 avril 2026 rainforestclean.com — 259 Go, 77k fichiers airdriephysio.com — 54 Go, 116k fichiers primeproperties.com.au — 100 Go, 81k fichiers anvilarts.org.uk — 480 Go, 299k fichiers dmschweiz.ch — 120 Go, 100k fichiers Zones géographiques concernées : États-Unis, Canada, Australie, Royaume-Uni, Suisse, Italie. ...

🔍 Contexte Publié le 28 avril 2026 par Check Point Research (CPR), cet article présente une analyse technique approfondie du ransomware VECT 2.0, un service Ransomware-as-a-Service (RaaS) apparu pour la première fois en décembre 2025 sur un forum cybercriminel russophone. CPR a obtenu un accès au panneau d’affiliation et au builder via un compte BreachForums. 🧩 Présentation de VECT VECT est un ransomware écrit en C++, ciblant trois plateformes : Windows, Linux et VMware ESXi. La version 2.0 a été publiée en février 2026. Le groupe a annoncé des partenariats avec : ...

📈 235 revendications cette semaine (+20, +9.3% par rapport à S16) Période : 20.04.2026 au 26.04.2026 Analyse Ransomware — Semaine 17 / 2026 (20 – 26 avril 2026) Source : eCrime.ch — Données agrégées, victimes individuelles non mentionnées Vue d’ensemble La semaine 17 enregistre 235 revendications de rançongiciels, soit une hausse de 20 cas supplémentaires par rapport à la semaine précédente (+9,3 %). Cette progression rompt avec le niveau observé en S16 (215 revendications) et constitue l’un des volumes hebdomadaires les plus élevés observés récemment. À noter que 97 revendications sur 235 (soit environ 41 %) ne permettent pas d’identifier le pays de la victime, ce qui limite l’interprétation géographique des données. ...