Ransomware

Source et contexte: Selon Cyble, le catalogue Known Exploited Vulnerabilities (KEV) de la CISA a connu en 2025 une accélération des ajouts, avec 245 nouvelles vulnérabilités, portant le total à 1 484, et une hausse des cas liés aux rançongiciels. 📈 Faits marquants 2025 245 vulnérabilités ajoutées (contre 185 en 2024 et 187 en 2023), soit +30% par rapport à la tendance 2023–2024, pour un total de 1 484 (+~20% sur l’année). 1 retrait: CVE-2025-6264 (Velociraptor Incorrect Default Permissions) pour insuffisance de preuves d’exploitation. 94 vulnérabilités plus anciennes (de 2024 et antérieures) ajoutées en 2025, soit +34% vs 2024; la plus ancienne ajoutée en 2025 est CVE-2007-0671 (Microsoft Office Excel RCE). La plus ancienne du catalogue reste CVE-2002-0367 (élévation de privilèges Windows NT/2000 smss.exe) utilisée dans des attaques par rançongiciels. Tendance récente: nouvelles vulnérabilités en forte hausse en fin d’année, pouvant se prolonger en 2026. 🚨 Vulnérabilités exploitées par des groupes de rançongiciels (2025) ...

Selon BleepingComputer (30 décembre 2025), deux ex-employés de sociétés liées à la réponse aux incidents et aux négociations de rançon ont plaidé coupable pour leur rôle d’affiliés BlackCat (ALPHV) dans des attaques menées en 2023 contre des entreprises américaines. ⚖️ Les accusés, Ryan Clifford Goldberg (33 ans, ex-responsable réponse à incident chez Sygnia) et Kevin Tyler Martin (28 ans, ex-négociateur chez DigitalMint), ont plaidé coupable de conspiration visant à entraver le commerce par extorsion. Ils seront condamnés le 12 mars 2026 et encourent jusqu’à 20 ans de prison chacun. ...

Source: Hackread (26 décembre 2025). L’article rapporte que le groupe ransomware Everest a publié sur son site de fuites du dark web une revendication d’intrusion chez Chrysler (Stellantis), avec 1 088 Go de données exfiltrées couvrant 2021–2025, dont 105+ Go liés à Salesforce. Au moment de la publication, Chrysler n’a pas confirmé et la vérification indépendante est limitée. Les échantillons et captures d’écran partagés montreraient des bases de données structurées, des feuilles de calcul internes, des arbres de répertoires et des exports CRM. Les données CRM affichées incluent des journaux d’interactions client avec noms, numéros de téléphone, e‑mails, adresses postales, détails de véhicules, ainsi que des notes de rappel et des résultats d’appels (boîte vocale, numéro erroné, rappel planifié, etc.). ...

Selon l’entreprise, un rançongiciel “Gentlemen” a provoqué une perturbation partielle des activités du Oltenia Energy Complex (CEO), tout en n’affectant pas le fonctionnement du Système énergétique national. Points clés: Type d’incident: attaque par ransomware (“Gentlemen”) Impact: activité partiellement affectée au sein du CEO Continuité: le Système énergétique national n’a pas été mis en danger Communication: information diffusée par l’entreprise samedi IOCs et TTPs: IOC: nom du rançongiciel identifié — “Gentlemen” TTPs: attaque par ransomware entraînant une perturbation opérationnelle (détails techniques non fournis) Contexte et portée: l’annonce met l’accent sur la limitation de l’impact à l’entreprise et la non-atteinte au système énergétique national ⚡🔐. ...

Selon Interpol, l’initiative coordonnée « Opération Sentinel » menée entre le 27 octobre et le 27 novembre, avec la participation de 19 pays, a visé des affaires de compromission de courriels professionnels (BEC), d’extorsion et de ransomware. 🚔 Résultats clés: 574 arrestations et 3 millions de dollars récupérés. 🌐 Disruption: plus de 6 000 liens malveillants démantelés. 🔐 Ransomware: six variantes distinctes déchiffrées. 💰 Impact financier: des cas liés à plus de 21 millions de dollars de pertes. Interpol met en avant plusieurs succès majeurs obtenus durant l’opération : ...

Selon l’agence roumaine de cybersécurité, une attaque par ransomware a visé l’Administrația Națională Apele Române (Apele Române), l’administration nationale des eaux, avec des travaux de remédiation toujours en cours. L’agence roumaine de cybersécurité a confirmé qu’une attaque ransomware majeure a touché l’Administrația Națională Apele Române (ANAR), l’organisme public chargé de la gestion des ressources en eau du pays. Environ 1 000 systèmes informatiques ont été compromis, et les opérations de remédiation sont toujours en cours. ...

Selon une actualité multi-source, le gang de ransomware Clop (Cl0p) vise des serveurs Gladinet CentreStack exposés sur Internet dans le cadre d’une nouvelle campagne d’extorsion par vol de données. 🚨 Faits principaux Acteur : Clop (Cl0p) Type d’attaque : extorsion par vol de données (data theft extortion) Cible : serveurs Gladinet CentreStack exposés sur Internet Impact visé : exfiltration de fichiers et pression d’extorsion 1) Contexte Le groupe de ransomware Clop (Cl0p) lance une nouvelle campagne d’extorsion ciblant les serveurs Gladinet CentreStack exposés sur Internet. CentreStack est une solution de partage de fichiers permettant aux entreprises d’accéder à des serveurs internes via navigateur, applications mobiles ou lecteurs réseau, sans VPN. Selon Gladinet, la solution est utilisée par des milliers d’entreprises dans plus de 49 pays. 2) Nature de l’attaque Les attaquants : scannent Internet à la recherche de serveurs CentreStack accessibles publiquement compromettent les systèmes déposent des notes de rançon L’objectif principal semble être le vol de données suivi d’extorsion, et non le chiffrement classique. 3) Vulnérabilité exploitée : inconnue À ce stade : aucun CVE n’a été identifié il est inconnu s’il s’agit : d’un zero-day ou d’une faille déjà corrigée mais non patchée Gladinet a publié plusieurs correctifs depuis avril, certains pour des failles zero-day déjà exploitées dans le passé. 4) Surface d’attaque et exposition Selon Curated Intelligence : au moins 200 adresses IP uniques exposent une interface web identifiable comme “CentreStack – Login” Ces systèmes constituent des cibles potentielles immédiates pour Clop. « Incident Responders […] ont rencontré une nouvelle campagne d’extorsion CLOP ciblant des serveurs CentreStack exposés sur Internet. » — Curated Intelligence ...

Selon BleepingComputer, le service de ransomware RansomHouse a récemment amélioré son chiffreur, délaissant une approche linéaire en une seule phase au profit d’une méthode multi‑couches plus complexe. 1) Contexte RansomHouse est une opération de cybercriminalité active depuis décembre 2021, initialement centrée sur l’extorsion par vol de données, avant d’intégrer progressivement le chiffrement. Le groupe opère selon un modèle RaaS et dispose d’outils dédiés, dont MrAgent, capable de chiffrer plusieurs hyperviseurs VMware ESXi simultanément. Récemment, RansomHouse a été observé utilisant plusieurs familles de ransomwares lors d’attaques, notamment contre Askul Corporation, un géant japonais du e-commerce. 2) Évolution majeure : le nouvel encryptor « Mario » Les chercheurs de Palo Alto Networks – Unit 42 ont analysé une nouvelle variante d’encryptor, baptisée Mario. Cette version marque un changement architectural important : passage d’un chiffrement linéaire en une seule phase à un processus multi-couches plus complexe 👉 Objectif : améliorer la robustesse du chiffrement, la vitesse d’exécution et la fiabilité sur des environnements modernes. ...

Selon un communiqué du Department of Justice (Office of Public Affairs) publié le 19 décembre 2025, un ressortissant ukrainien, Artem Aleksandrovych Stryzhak, a plaidé coupable de conspiration pour fraude informatique pour son rôle dans des attaques au ransomware Nefilim visant des entreprises aux États‑Unis et à l’international. Les documents judiciaires indiquent que le groupe a déployé le ransomware Nefilim contre des réseaux d’entreprises, causant des dommages importants. Pour chaque victime, les auteurs généraient un exécutable de rançongiciel unique, une clé de déchiffrement correspondante et une note de rançon personnalisée. En cas de paiement, ils fournissaient la clé permettant de déchiffrer les fichiers. ...

Source: annonce officielle de l’entreprise. Contexte: la société signale un incident de sécurité affectant sa filiale au Vietnam, avec communication d’excuses aux clients et partenaires. 🚨 L’entreprise indique qu’une tierce partie a réalisé un accès non autorisé aux systèmes de DAINICHI COLOR VIETNAM CO., LTD., provoquant une infection par ransomware touchant des serveurs internes et des systèmes connexes. L’annonce inclut des excuses pour l’« inquiétude et l’inconvénient » causés aux clients, partenaires commerciaux et autres parties concernées. ...