Ransomware

📋 Contexte : Rapport semestriel publié le 30 mars 2026 par l’Office fédéral de la cybersécurité (OFCS) suisse, couvrant la période juillet–décembre 2025. Premier rapport intégrant à la fois les déclarations volontaires et les 145 déclarations obligatoires issues de la nouvelle loi en vigueur depuis le 1er avril 2025 pour les infrastructures critiques. 📊 Statistiques clés : 29 006 déclarations volontaires reçues au S2 2025 52 % des annonces concernent la fraude 57 incidents ransomware signalés directement (79 au total toutes sources confondues) 73 cas de Business Email Compromise (BEC) au S2 2025 Secteurs les plus touchés par les déclarations obligatoires : secteur public (25 %), IT/télécoms (18 %), finance/assurances (15,7 %) 🦠 Ransomware – menace dominante : ...

🗓️ Contexte Source : IDSNews, publié le 28 mars 2026. L’information est rapportée par le Lieutenant Adam Nicholson, porte-parole du Bureau du Shérif du Comté de Jackson (Indiana, États-Unis). 💥 Incident Le Bureau du Shérif du Comté de Jackson a été victime d’une attaque ransomware la semaine précédant la publication de l’article. L’attaque a provoqué une mise hors service complète du réseau informatique du département. 🖥️ Systèmes impactés Système de dépôt de rapports de police : inaccessible Réseau Wi-Fi : hors service Tous les postes informatiques : inaccessibles Données du registre des délinquants sexuels : potentiellement irrécupérables depuis les disques durs externes 🔄 Mesures de continuité Les dispatcheurs ont été relocalisés et opèrent depuis les équipements informatiques du Seymour Police Department. Le support IT est mobilisé pour répondre à l’incident. ...

🗓️ Contexte Source officielle : communiqué de presse publié le 27 mars 2026 sur le site du parti Die Linke (Allemagne). L’annonce est faite par Janis Ehling, directeur général fédéral du parti. 🎯 Nature de l’incident Le 26 mars 2026, le réseau informatique du parti politique allemand Die Linke (siège fédéral) a été la cible d’une attaque ransomware sévère. L’incident a été détecté le jour même, et des parties de l’infrastructure IT ont été isolées du réseau à titre préventif. ...

📰 Source : LeMagIT — publié le 28 mars 2026 Contexte L’article traite du processus de double extorsion, désormais une pratique standard dans l’écosystème ransomware. Il décrit les étapes successives suivies par les cybercriminels après une intrusion. Déroulement du processus 🔒 Les étapes identifiées sont les suivantes : Lancement de l’attaque et compromission de la victime Vol de données (exfiltration) Chiffrement des données sur les systèmes compromis Dépôt d’une note de rançon avec instructions de contact Publication d’une revendication sur un site vitrine (leak site) après un délai variable Menace de divulgation des données volées comme levier de pression supplémentaire Temporalité ⏱️ Le délai entre l’attaque et la revendication publique varie selon les groupes. La divulgation effective des données peut intervenir entre quelques semaines et quelques mois après la revendication, notamment sous l’effet de négociations menées par des négociateurs spécialisés cherchant à gagner du temps. ...

🔍 Contexte Publié le 28 mars 2026 par Beazley Security Labs en collaboration avec Halcyon, cet article présente une analyse technique approfondie d’une intrusion récente attribuée au groupe Pay2Key, un acteur de menace d’origine iranienne actif depuis 2020. L’analyse couvre à la fois les évolutions techniques du groupe et une chaîne d’attaque complète observée lors d’un incident en Q1 2026 dans une organisation de santé américaine. 🎭 Attribution et contexte géopolitique Pay2Key est suivi sous plusieurs noms : Fox Kitten, Pioneer Kitten, UNC757, Parasite, RUBIDIUM, Lemon Sandstorm. En août 2024, le FBI, la CISA et le DoD Cyber Crime Center ont officiellement attribué le groupe à l’Iran, qualifiant ses opérations d’« information operation » visant les infrastructures américaines et israéliennes. Les paiements de rançon ont historiquement transité par Excoino, une plateforme d’échange de cryptomonnaies iranienne. L’activité du groupe s’intensifie systématiquement lors de tensions géopolitiques impliquant l’Iran. ...

📰 Source : BBC News — publié le 28 mars 2026. L’article rapporte une attaque par ransomware ayant touché les systèmes informatiques de l’école St Anne’s Catholic School, située à Southampton, au Royaume-Uni. 🎯 Impact opérationnel : L’établissement scolaire a été contraint de fermer ses portes pendant quatre jours consécutifs à la suite de l’incident. Les parents ont été informés dimanche par message de la compromission du réseau. 🔐 Nature de l’attaque : Le réseau de l’école a été infecté par un ransomware, un type de logiciel malveillant menaçant de supprimer des fichiers à moins qu’une rançon ne soit versée. L’équipe informatique de l’école est intervenue immédiatement pour contenir la propagation. ...

🌐 Contexte Source : Cyble (cyble.com), publié le 26 mars 2026. Ce rapport couvre la période juillet 2024 – juin 2025 et analyse la menace ransomware pesant sur le secteur de l’énergie et des utilities à l’échelle mondiale. 📊 Chiffres clés Sur la période analysée, le secteur énergétique a enregistré : 187 attaques ransomware confirmées 57 événements de fuite ou violation de données 37 incidents de vente d’accès réseau compromis sur des forums criminels Plus de 39 000 posts hacktivistes ciblant les infrastructures énergétiques 🎯 Groupes ransomware les plus actifs RansomHub : 24 incidents (12,8 %) Akira : 20 incidents (10,7 %) Play : 18 incidents (9,6 %) Qilin et Hunters/Lynx complètent le top 5, responsables collectivement de près de 50 % des incidents 🗺️ Distribution géographique L’Amérique du Nord concentre plus d’un tiers des attaques ransomware. L’Asie et l’Europe absorbent également des parts significatives des ventes d’accès compromis et des violations de données. ...

🔍 Contexte Source : BleepingComputer, publié le 26 mars 2026. Cet article rapporte la condamnation d’un ressortissant russe ayant agi comme courtier en accès initial (IAB) pour l’opération de ransomware-as-a-service Yanluowang. 👤 Acteur identifié Aleksey Olegovich Volkov, 26 ans, connu en ligne sous les pseudonymes “chubaka.kor” et “nets”, a plaidé coupable en novembre (année non précisée) et a été condamné à 81 mois de prison (près de 7 ans). Arrêté en Italie en janvier 2024 Extradé vers les États-Unis Ciblait au moins 8 entreprises américaines entre juillet 2021 et novembre 2022 🎯 Mode opératoire Intrusion dans des réseaux d’entreprises Revente des accès à l’opération Yanluowang RaaS Les affiliés Yanluowang chiffraient les données des victimes Demandes de rançon allant de 300 000 $ à 15 millions $ en cryptomonnaie Partage des paiements entre les co-conspirateurs 🏢 Incident notable Les poursuites ont notamment été déclenchées après que le gang Yanluowang a volé des fichiers non sensibles depuis le dossier Box d’un employé de Cisco, sans parvenir à chiffrer les systèmes ni à percevoir de rançon. ...

🔍 Contexte Publié le 16 mars 2026 par le Google Threat Intelligence Group (GTIG), ce rapport analyse les tactiques, techniques et procédures (TTPs) observées lors des incidents ransomware traités par Mandiant Consulting en 2025. Il couvre des victimes situées en Asie-Pacifique, Europe, Amérique du Nord et du Sud, dans presque tous les secteurs d’activité. 📊 Paysage ransomware 2025 Record historique de posts sur les Data Leak Sites (DLS) en 2025, dépassant 2024 de près de 50% La rentabilité globale est en déclin : taux de paiement de rançon au plus bas historique en Q4 2025 (Coveware), demande moyenne réduite d’un tiers à 1,34 M$ en 2025 contre 2 M$ en 2024 (Sophos) Près de la moitié des victimes ont pu restaurer depuis des sauvegardes en 2024 (contre 28% en 2023 et 11% en 2022) LockBit, ALPHV, Basta et RansomHub ont été perturbés ou ont disparu ; Qilin et Akira ont comblé le vide REDBIKE (Akira) est la famille ransomware la plus déployée : ~30% des incidents Montée en puissance des opérations de data theft extortion seule (sans chiffrement) Ciblage croissant des petites organisations (moins de 200 employés) Adoption de technologies Web3 (ICP blockchain, Polygon smart contracts) pour la résilience des infrastructures Intégration de l’IA dans les opérations (négociations, analyse des victimes) Doublement des familles ransomware cross-platform (Windows + Linux) 🎯 Vecteurs d’accès initial Exploitation de vulnérabilités : 1/3 des incidents (VPNs et firewalls principalement) Fortinet : CVE-2024-21762, CVE-2024-55591, CVE-2019-6693 SonicWall : CVE-2024-40766 Palo Alto : CVE-2024-3400 Citrix : CVE-2023-4966 Microsoft SharePoint : CVE-2025-53770, CVE-2025-53771 (zero-day par UNC6357) SAP NetWeaver : CVE-2025-31324 CrushFTP : CVE-2025-31161 CVE-2025-8088 exploité en zero-day par UNC2165 CVE-2025-61882 exploité contre Oracle EBS (CL0P) Credentials volés : 21% des incidents identifiés (VPN, RDP) Malvertising / SEO poisoning : UNC6016 (→ NITROGEN, RHYSIDA), UNC2465 (→ SMOKEDHAM) Bruteforce : attaques prolongées sur VPNs (ex. Daixin sur près d’un an) Accès via subsidiaires ou tiers (réseaux intermédiaires) Ingénierie sociale : UNC5833 via Microsoft Teams + Quick Assist 🔧 TTPs post-compromission Établissement de foothold : ...

📈 226 revendications cette semaine (+13, +6.1% par rapport à S11) Période : 16.03.2026 au 22.03.2026 Analyse Ransomware — Semaine 12 · 16 au 22 mars 2026 Introduction La semaine 12 de 2026 enregistre 226 revendications d’attaques par rançongiciel, soit une hausse de 13 revendications supplémentaires par rapport à la semaine précédente (+6,1 %). Cette progression confirme un niveau d’activité soutenu après une semaine S11 déjà élevée à 213 revendications. Le volume hebdomadaire reste ainsi ancré au-dessus du seuil des 200 revendications pour la deuxième semaine consécutive. ...