TTP

Selon TRM Labs, Embargo est un acteur ransomware sophistiqué apparu en avril 2024 qui aurait récolté environ 34,2 M$ en paiements. Le groupe cible principalement les organisations de santé aux États-Unis, ainsi que les services aux entreprises et la manufacture, et pratique la double extorsion. Sur le plan technique, Embargo opère en RaaS (ransomware-as-a-service) avec un malware en Rust doté de capacités avancées d’évasion. Les vecteurs d’accès initiaux incluent l’exploitation de vulnérabilités non corrigées et des attaques de social engineering. Le groupe utilise un outil en deux parties pour désactiver les solutions de sécurité avant l’encryption des fichiers. ...

Selon Darktrace (billet de blog), des vulnérabilités d’Ivanti Endpoint Manager Mobile — CVE-2025-4427 et CVE-2025-4428 — sont activement exploitées dans plusieurs environnements clients par l’acteur lié à la Chine UNC5221. L’enquête met en évidence une chaîne d’attaque structurée combinant validation d’exploit, livraison de charge utile et récupération de commandes. • Points clés: exploitation active de CVE-2025-4427/CVE-2025-4428 sur Ivanti EPMM, attribution à UNC5221 (China‑nexus), déploiement du malware KrustyLoader via AWS S3, et usage de pastebin/dpaste pour des charges dynamiques. Un chevauchement d’infrastructure avec l’exploitation de SAP NetWeaver CVE-2025-31324 suggère des activités coordonnées. ...

Contexte: Arctic Wolf publie une analyse des tendances actuelles des campagnes de ransomware et d’extorsion, mettant en lumière la généralisation de l’exfiltration de données et des schémas de multi‑extorsion. L’étude souligne que 96% des cas de ransomware incluent désormais l’exfiltration de données. Les acteurs adoptent des modèles de double, triple et quadruple extorsion combinant vol de données, menaces de divulgation publique et harcèlement ciblé. Les secteurs santé, éducation, gouvernement et manufacturier sont signalés comme particulièrement vulnérables. Les approches classiques de sauvegarde/restauration ne suffisent plus lorsque des données volées servent à une extorsion continue. ...

Selon BleepingComputer, une vulnérabilité de WinRAR identifiée comme CVE-2025-8088, bien que récemment corrigée, a été exploitée en 0‑day dans des campagnes de phishing pour installer le malware RomCom. L’article souligne l’exploitation active d’une faille WinRAR avant sa divulgation publique complète, permettant à des acteurs malveillants d’infecter des victimes via des courriels de phishing. Le point central concerne l’usage de CVE-2025-8088 comme vecteur initial, avec pour charge utile le malware RomCom. La faille est désormais corrigée, mais a servi de 0‑day au moment des attaques. ...

Selon Socket (blog Socket.dev), l’équipe de recherche a mis au jour une attaque de chaîne d’approvisionnement sophistiquée dans l’écosystème RubyGems, active depuis mars 2023, ayant publié 60 paquets malveillants totalisant plus de 275 000 téléchargements. Les gems malveillants se présentent comme des outils d’automatisation pour des plateformes de réseaux sociaux et marketing, mais volent des identifiants d’utilisateurs. L’opération cible en particulier des marketeurs « grey-hat » sud-coréens utilisant des comptes jetables, ce qui a permis à la campagne de rester discrète pendant plus d’un an. ...

Selon Securelist (Kaspersky), des chercheurs ont identifié « Efimer », un voleur de cryptomonnaies de type ClipBanker, actif dans une campagne ayant touché plus de 5 000 utilisateurs dans le monde, avec une forte concentration au Brésil. Le malware se propage via des campagnes d’e-mails usurpant des menaces juridiques et via des sites WordPress compromis proposant des films piratés. Son objectif principal est le vol de cryptomonnaies en remplaçant, dans le presse-papiers, les adresses des portefeuilles et même des phrases mnémoniques. ...

Selon Cyble, les « top ransomware threat actors » ne sont pas seulement de retour : ils sont désormais plus importants, plus sophistiqués et bien plus coordonnés. Le message met l’accent sur une évolution notable du paysage des menaces ransomware, caractérisée par une montée en puissance (📈), une amélioration des capacités opérationnelles et techniques (🧠), ainsi qu’une coordination accrue entre acteurs (🤝), suggérant des campagnes plus efficaces et organisées. Type d’article et objectif principal : analyse de menace visant à alerter sur le renforcement et la coordination des principaux acteurs du ransomware. ...

CloudSEK publie une analyse sur l’exploitation de la fête indienne de Raksha Bandhan par des cybercriminels, décrivant des campagnes de phishing, des fraudes UPI et des sites e‑commerce factices visant les acheteurs à l’occasion du festival. L’étude met en avant des campagnes de phishing et d’ingénierie sociale jouant sur l’urgence et les promotions de fête : offres de cadeaux frauduleuses, fausses notifications de livraison, et escroqueries UPI orchestrées via des invites « intent-based » sur mobile. ...

Source et contexte: SpyCloud publie une analyse basée sur 159 188 identifiants phishés, révélant que la plateforme de Phishing-as-a-Service Tycoon 2FA met en œuvre des techniques Adversary-in-the-Middle (AitM) pour contourner la MFA et compromettre des comptes Microsoft 365 et Gmail. 🎣 Fonctionnement: Tycoon 2FA héberge des copies convaincantes des pages de connexion Gmail et Microsoft 365, intercepte le flux d’authentification, capture identifiants et jetons MFA, relaie les requêtes vers les services légitimes et vole les cookies de session pour l’hijacking. Le kit intègre des fonctions anti-analyse comme des CAPTCHA et de l’obfuscation de code. ...

L’article publié par Infoblox explore l’histoire et les activités de VexTrio, un acteur clé dans le domaine de la cybercriminalité et de la distribution de trafic malveillant. Initialement impliqué dans le spam et les escroqueries, VexTrio s’est transformé en un réseau complexe d’entreprises liées à l’adtech. VexTrio est connu pour son système de distribution de trafic (TDS), qui est utilisé pour masquer des fraudes numériques telles que les scarewares, les escroqueries en cryptomonnaies et les faux VPN. En 2024, près de 40 % des sites web compromis redirigeaient vers le TDS de VexTrio, illustrant leur influence dans le paysage des menaces. ...