Ransomware

🗞️ Contexte Article publié le 8 avril 2026 par The Register, basé sur une interview de Cynthia Kaiser, ancienne directrice adjointe de la division cyber du FBI (départ en juin 2025) et désormais SVP au Halcyon Ransomware Research Center, lors de la RSA Conference. 🎯 Menace 1 : Pay2Key — groupe lié à l’Iran, secteur santé américain Attaque survenue fin février 2026, coïncidant avec les frappes militaires américano-israéliennes contre l’Iran Cible : organisation de santé américaine Accès initial via un compte administrateur compromis, présent sur le réseau plusieurs jours avant l’attaque Chiffrement de l’environnement en 3 heures après activation Aucune exfiltration de données détectée — inhabituel pour ce groupe, suggérant une visée destructrice plutôt que financière Le variant utilisé montre une mise à niveau significative par rapport aux intrusions de juillet 2025 : meilleures capacités anti-détection Parallèle établi avec les attaques contre l’Albanie en 2022 : Iran présent 14 mois sur les réseaux albanais avant de transférer l’accès à un groupe d’attaque 💣 Menace 2 : Sicarii — ransomware amateur au comportement destructeur Groupe apparu en décembre 2025 Défaut critique de conception : l’encrypteur génère une nouvelle paire de clés cryptographiques à chaque exécution mais supprime la clé privée, rendant le déchiffrement impossible Résultat : le ransomware se comporte comme un wiper / destruction-ware Kaiser attribue ce défaut à l’utilisation d’IA pour générer le code, assemblé de façon incohérente (« ugly-chaining ») ⚡ Menace 3 : Akira — vitesse d’exécution extrême Dans la majorité de ses centaines de compromissions sur 12 mois : moins de 4 heures entre accès initial et chiffrement complet Certaines attaques : moins d’une heure Outil de déchiffrement doté d’un système de checkpoint pour garantir la récupération des gros fichiers même en cas d’interruption 📊 Tendances générales Coût combiné ransomware + extorsion pour les entreprises et consommateurs américains : ~155 millions de dollars en 2025 Les wannabes utilisant l’IA représentent une menace croissante par le volume d’attaques, même si leur sophistication reste faible L’IA permet à des acteurs peu qualifiés de passer de 0 % à 5-10 % d’efficacité, augmentant la pression sur les équipes défensives Le dwell time (temps de présence avant détection) a drastiquement diminué chez les groupes sophistiqués 📌 Nature de l’article Article de presse spécialisée sous forme d’interview, visant à présenter l’analyse de menace ransomware d’une experte issue du renseignement fédéral américain, avec des cas concrets investigués par Halcyon. ...

🗞️ Contexte Source : The Register — Article publié le 8 avril 2026. L’information rapporte une attaque par ransomware ayant ciblé ChipSoft, éditeur de logiciels néerlandais spécialisé dans les systèmes de gestion de dossiers patients pour le secteur hospitalier. 🎯 Cible et impact ChipSoft fournit des logiciels de dossiers patients à environ 80 % des établissements hospitaliers des Pays-Bas. Le site web de ChipSoft est hors ligne depuis le 7 avril 2026 et reste inaccessible au moment de la publication. Malgré la perturbation des services publics de l’entreprise, la majorité des hôpitaux clients conservent l’accès à leurs portails patients. L’impact varie selon les clients : certains utilisent le logiciel de manière plus intensive que d’autres pour la gestion des dossiers. 🕵️ Acteur de la menace Le groupe responsable de l’attaque n’est pas encore identifié au moment de la publication. ...

🗓️ Contexte Publié le 6 avril 2026 par The Hacker News, cet article s’appuie sur des recherches de Cisco Talos et Trend Micro portant sur les opérations ransomware Qilin et Warlock. 🎯 Technique utilisée : BYOVD Les deux groupes ont été observés en train d’utiliser la technique Bring Your Own Vulnerable Driver (BYOVD), qui consiste à déployer un pilote légitime mais vulnérable afin de contourner ou neutraliser les outils de sécurité actifs sur les hôtes compromis. ...

🗓️ Contexte Source : NLTimes (relayant NOS et ANP), publiée le 8 avril 2026. L’article rapporte une attaque par ransomware ciblant ChipSoft, entreprise néerlandaise fournissant des systèmes d’information de santé à environ 70% des hôpitaux des Pays-Bas. 🎯 Nature de l’incident ChipSoft a confirmé un « incident de données » impliquant un « possible accès non autorisé », sans pouvoir exclure que des données patients aient été consultées ou volées. L’organisation Z-Cert (centre d’expertise en sécurité numérique pour le secteur de la santé) a alerté les établissements de santé via un message confidentiel. ...

📰 Source : The Record (therecord.media) — Date de publication : 8 avril 2026 Le gouverneur du Minnesota Tim Walz a émis un décret exécutif le mardi 7 avril 2026, ordonnant le déploiement de la Minnesota National Guard dans le comté de Winona à la suite d’une cyberattaque survenue le lundi 6 avril 2026. 🎯 Impact de l’attaque L’attaque a provoqué des perturbations significatives des services d’urgence et des services critiques municipaux. Le comté de Winona, qui compte environ 50 000 habitants, n’a pas publié de déclaration officielle sur cet incident. Le maire de la ville de Winona, Scott Sherman, a précisé que l’attaque n’affectait que le gouvernement du comté et avait un impact minimal sur les opérations municipales. ...

📈 266 revendications cette semaine (+62, +30.4% par rapport à S13) Période : 30.03.2026 au 05.04.2026 Analyse Ransomware — Semaine 14 2026 (30.03 – 05.04.2026) Vue d’ensemble La semaine 14 enregistre 266 revendications d’attaques par rançongiciel, soit une hausse de 62 cas supplémentaires par rapport à la semaine précédente (204 revendications en S13), ce qui représente une augmentation de +30,4 %. Il s’agit d’une progression significative sur une seule semaine, portée par une activité élargie du nombre de groupes actifs simultanément. ...

🔍 Contexte Source : KrebsOnSecurity, publié le 6 avril 2026. Le Bureau fédéral de police criminelle allemand (BKA / Bundeskriminalamt) a publié un avis officiel révélant l’identité du hacker opérant sous le pseudonyme UNKN (alias UNKNOWN), jusqu’alors non identifié publiquement. 👤 Individus identifiés Daniil Maksimovich Shchukin, 31 ans, ressortissant russe, originaire de Krasnodar (Russie), identifié comme chef des groupes GandCrab et REvil Anatoly Sergeevitsch Kravchuk, 43 ans, ressortissant russe, co-accusé Shchukin était également actif sous l’identité Ger0in sur des forums cybercriminels russes entre 2010 et 2011, opérant des botnets et vendant des « installs » 🎯 Faits reprochés Au moins 130 actes de sabotage informatique et d’extorsion contre des victimes en Allemagne entre 2019 et 2021 ~2 millions d’euros extorqués sur une vingtaine d’attaques Plus de 35 millions d’euros de dommages économiques totaux en Allemagne Un portefeuille numérique lié à Shchukin contenait plus de 317 000 dollars en cryptomonnaies selon un dossier du DOJ américain de février 2023 🦠 Groupes ransomware dirigés GandCrab Apparu en janvier 2018 sous forme de programme d’affiliation Cinq révisions majeures du code publiées Arrêt annoncé le 31 mai 2019 après avoir extorqué plus de 2 milliards de dollars à des victimes Pionnier de la double extorsion (paiement pour déchiffrement + paiement pour non-publication des données) REvil Apparu concomitamment à la fermeture de GandCrab Fronté par UNKNOWN, qui avait déposé 1 million de dollars en escrow sur un forum cybercriminel russe Ciblait principalement des organisations avec plus de 100 millions de dollars de revenus annuels Attaque majeure : hack de Kaseya le week-end du 4 juillet 2021, affectant plus de 1 500 entreprises, ONG et agences gouvernementales Le FBI avait infiltré les serveurs de REvil avant l’attaque Kaseya et a publié une clé de déchiffrement gratuite pour les victimes 🔗 Liens et attribution Le nom de Shchukin apparaît dans un dossier du DOJ américain de février 2023 lié à la saisie de comptes cryptomonnaies associés à REvil La firme Intel 471 a indexé des données de forums russes reliant Shchukin à l’identité Ger0in Une correspondance photographique a été établie via PimEyes entre les photos du BKA et une célébration d’anniversaire de 2023 à Krasnodar UNKNOWN avait accordé une interview à Dmitry Smilyanets (Recorded Future) 📌 Type d’article Article de presse spécialisée relatant une opération d’attribution et de doxing officiel par les autorités allemandes, visant à exposer publiquement l’identité d’un cybercriminel présumé résidant en Russie et hors de portée judiciaire immédiate. ...

📰 Source : Corriere della Sera (Marco Persico), publié le 4 avril 2026. L’article relate une cyberattaque ciblée contre les Galeries des Offices de Florence, l’un des musées les plus importants au monde. 🎯 Nature de l’attaque L’attaque est décrite comme planifiée et professionnelle, avec une phase de reconnaissance prolongée (présence dans les systèmes pendant plusieurs mois). Les attaquants ont exfiltré des données avant de bloquer les systèmes et d’envoyer une demande de rançon de 300 000 € en cryptomonnaies, avec un ultimatum de 72 heures. La demande a été transmise directement sur le téléphone personnel du directeur Simone Verde, début février 2026. ...

🔍 Contexte Cette analyse technique est publiée par le Halcyon Ransomware Research Center le 2 avril 2026. Elle documente les tactiques, techniques et procédures (TTPs) du groupe Akira, actif depuis mars 2023 en tant qu’opération Ransomware-as-a-Service (RaaS) à motivation financière. 🎯 Profil du groupe Akira Actif depuis mars 2023, avec des liens de code et de transactions crypto vers le syndicat Conti défunt A accumulé environ 244 millions USD de rançons jusqu’en septembre 2025 Cibles : entreprises et infrastructures critiques en Amérique du Nord, Europe et Australie Modèle de double extorsion : exfiltration de données avant chiffrement, publication sur un site dark web en cas de non-paiement ⚡ Rapidité d’exécution Akira est capable de mener l’intégralité du cycle d’attaque — de l’accès initial au chiffrement — en moins d’une heure, et dans la majorité des cas en moins de quatre heures. Cette vitesse a permis de compromettre des centaines de victimes sur les 12 derniers mois. ...

🔍 Contexte Publié le 2 avril 2026 par Takahiro Takeda sur le blog Cisco Talos Intelligence, cet article constitue une analyse technique approfondie du composant msimg32.dll malveillant déployé dans les attaques du ransomware Qilin. Il documente des détails techniques inédits de la chaîne d’infection, notamment les techniques SEH/VEH et la manipulation d’objets noyau. 🎯 Mécanisme d’infection Le fichier msimg32.dll est vraisemblablement chargé par DLL side-loading via une application légitime. Son exécution démarre dès le chargement via la fonction DllMain. La chaîne d’infection se déroule en 4 étapes : ...