Mastodawn

📢 Double extorsion ransomware : mécanique des revendications et divulgation de données volées
📝 📰 **Source** : LeMagIT — publié le 28 mars 2026

## Contexte

L'article traite du processus d...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-28-double-extorsion-ransomware-mecanique-des-revendications-et-divulgation-de-donnees-volees/
🌐 source : https://www.lemagit.fr/actualites/366640731/Ransomware-ces-revendications-au-destin-hasardeux
#TTP #double_extorsion #Cyberveille

Double extorsion ransomware : mécanique des revendications et divulgation de données volées

📰 Source : LeMagIT — publié le 28 mars 2026 Contexte L’article traite du processus de double extorsion, désormais une pratique standard dans l’écosystème ransomware. Il décrit les étapes successives suivies par les cybercriminels après une intrusion. Déroulement du processus 🔒 Les étapes identifiées sont les suivantes : Lancement de l’attaque et compromission de la victime Vol de données (exfiltration) Chiffrement des données sur les systèmes compromis Dépôt d’une note de rançon avec instructions de contact Publication d’une revendication sur un site vitrine (leak site) après un délai variable Menace de divulgation des données volées comme levier de pression supplémentaire Temporalité ⏱️ Le délai entre l’attaque et la revendication publique varie selon les groupes. La divulgation effective des données peut intervenir entre quelques semaines et quelques mois après la revendication, notamment sous l’effet de négociations menées par des négociateurs spécialisés cherchant à gagner du temps.

CyberVeille

CyberVeille.ch Mar 8

📢 Alerte conjointe ACSC/CERT Tonga/NCSC : le RaaS INC Ransom cible l’Australie, la Nouvelle‑Zélande et le Pacifique, avec un focus sur la santé
📝 ...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-08-alerte-conjointe-acsc-cert-tonga-ncsc-le-raas-inc-ransom-cible-laustralie-la-nouvelle-zelande-et-le-pacifique-avec-un-focus-sur-la-sante/
🌐 source : https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/inc-ransom-affiliate-model-enabling-targeting-of-critical-networks
#Double_extorsion #INC_Ransom #Cyberveille

Alerte conjointe ACSC/CERT Tonga/NCSC : le RaaS INC Ransom cible l’Australie, la Nouvelle‑Zélande et le Pacifique, avec un focus sur la santé

Source et contexte : Alerte conjointe publiée par l’Australian Cyber Security Centre (ACSC), le CERT Tonga et le National Cyber Security Centre (NCSC) de Nouvelle‑Zélande, décrivant l’activité du groupe de ransomware INC Ransom et de ses affiliés, leurs cibles en Australie, Nouvelle‑Zélande et États insulaires du Pacifique, et les mesures de mitigation recommandées. INC Ransom, aussi connu sous les noms Tarnished Scorpion et GOLD IONIC, opère en modèle Ransomware‑as‑a‑Service (RaaS) depuis mi‑2023. Les affiliés procèdent à de la double extorsion (vol de données + chiffrement, menace de divulgation via un Data Leak Site sur Tor). Après avoir visé les États‑Unis et le Royaume‑Uni, le groupe se concentre davantage depuis début 2025 sur l’Australie, la Nouvelle‑Zélande et les États insulaires du Pacifique, avec une tendance marquée vers les fournisseurs de santé 🏥.

CyberVeille

CyberVeille.ch Feb 22

📢 Air Côte d’Ivoire victime d’un ransomware avec double extorsion (INC Ransom)
📝 Source: RFI — RFI rapporte qu’Air Côte d’Ivoire a subi une cyberattaque détectée dans la nuit du...
📖 cyberveille : https://cyberveille.ch/posts/2026-02-22-air-cote-divoire-victime-dun-ransomware-avec-double-extorsion-inc-ransom/
🌐 source : https://www.rfi.fr/fr/afrique/20260221-la-compagnie-a%C3%A9rienne-air-c%C3%B4te-d-ivoire-victime-d-une-cyberattaque
#INC_Ransom #double_extorsion #Cyberveille

Air Côte d’Ivoire victime d’un ransomware avec double extorsion (INC Ransom)

Source: RFI — RFI rapporte qu’Air Côte d’Ivoire a subi une cyberattaque détectée dans la nuit du dimanche 8 février et révélée le vendredi 20 février, impliquant une extraction illégale de données sensibles et un possible chiffrement de fichiers. 🔐 Type d’attaque: ransomware avec double extorsion. 🗂️ Impact: extraction illégale de données sensibles; des fichiers copiés puis potentiellement chiffrés rendant leur accès impossible. 🧑‍✈️ Données concernées: contenu non précisé; l’article évoque qu’il pourrait s’agir d’informations de passagers, de données de salariés et de documents internes. ✈️ Opérations: programme de vols maintenu; pas de perturbation du trafic aérien signalée. 🕒 Chronologie: incident la nuit du 8 février; révélé le 20 février. Groupe et mode opératoire

CyberVeille

CyberVeille.ch Jan 10

📢 SafePay : un gang de ransomware centralisé impose la double extorsion et chiffre en 24 h
📝 Selon l'article, dans le contexte d'une intensification des opérations en 2024-2...
📖 cyberveille : https://cyberveille.ch/posts/2026-01-10-safepay-un-gang-de-ransomware-centralise-impose-la-double-extorsion-et-chiffre-en-24-h/
🌐 source : https://www.picussecurity.com/resource/blog/inside-safepay-analyzing-the-new-centralized-ransomware-group
#Double_extorsion #Ransomware #Cyberveille

CyberVeille.ch Dec 21

📢 Un Ukrainien plaide coupable pour des attaques au ransomware Nefilim visant des entreprises
📝 Selon un communiqué du Department of Justice (Office of Pub...
📖 cyberveille : https://cyberveille.ch/posts/2025-12-21-un-ukrainien-plaide-coupable-pour-des-attaques-au-ransomware-nefilim-visant-des-entreprises/
🌐 source : https://www.justice.gov/opa/pr/ukrainian-national-pleads-guilty-conspiracy-use-nefilim-ransomware-attack-companies-united
#Nefilim #double_extorsion #Cyberveille

Un Ukrainien plaide coupable pour des attaques au ransomware Nefilim visant des entreprises

Selon un communiqué du Department of Justice (Office of Public Affairs) publié le 19 décembre 2025, un ressortissant ukrainien, Artem Aleksandrovych Stryzhak, a plaidé coupable de conspiration pour fraude informatique pour son rôle dans des attaques au ransomware Nefilim visant des entreprises aux États‑Unis et à l’international. Les documents judiciaires indiquent que le groupe a déployé le ransomware Nefilim contre des réseaux d’entreprises, causant des dommages importants. Pour chaque victime, les auteurs généraient un exécutable de rançongiciel unique, une clé de déchiffrement correspondante et une note de rançon personnalisée. En cas de paiement, ils fournissaient la clé permettant de déchiffrer les fichiers.

CyberVeille

CyberVeille.ch Oct 19

📢 Suisse: enquête fédérale contre le groupe ransomware Akira
📝 Selon les autorités fédérales suisses, une enquête pénale est conduite depuis avril de l’an dernier par la **Bundesanwaltschaft (BA)**...
📖 cyberveille : https://cyberveille.ch/posts/2025-10-19-suisse-enquete-federale-contre-le-groupe-ransomware-akira/
🌐 source : https://www.computerworld.ch/security/hacking/hackergruppe-akira-attackiert-200-unternehmen-in-schweiz-2974990.html
#Akira #double_extorsion #Cyberveille

Suisse: enquête fédérale contre le groupe ransomware Akira

Selon les autorités fédérales suisses, une enquête pénale est conduite depuis avril de l’an dernier par la Bundesanwaltschaft (BA), sous la coordination de Fedpol, en étroite collaboration avec le Bundesamt für Cybersicherheit (BACS) et des autorités de plusieurs pays. Le groupe de pirates Akira, apparu en mars 2023, est au cœur de cette procédure. Il opère avec un logiciel spécialisé et développé sur mesure et s’appuie sur une infrastructure IT distribuée à l’international 🌐.

CyberVeille

CyberVeille.ch Oct 3

📢 Yurei : ransomware en Go ciblant Windows avec ChaCha20+ECIES et double extorsion
📝 Selon CYFIRMA, un nouveau ransomware baptisé Yurei a été observé pour la première fois en septembre 2025, avec des victimes dans le s...
📖 cyberveille : https://cyberveille.ch/posts/2025-10-03-yurei-ransomware-en-go-ciblant-windows-avec-chacha20-ecies-et-double-extorsion/
🌐 source : https://www.cyfirma.com/research/yurei-ransomware-the-digital-ghost/
#Double_extorsion #Go_Malware #Cyberveille

Yurei : ransomware en Go ciblant Windows avec ChaCha20+ECIES et double extorsion

Selon CYFIRMA, un nouveau ransomware baptisé Yurei a été observé pour la première fois en septembre 2025, avec des victimes dans le secteur agroalimentaire au Sri Lanka. Le malware, écrit en Go, cible les systèmes Windows et opère une double extorsion via des canaux de négociation .onion sur Tor. L’analyse suggère des similarités structurelles avec le projet Prince-Ransomware et des artefacts de compilation liés à un environnement « SatanLockerV2 ».

CyberVeille

CyberVeille.ch Sep 26, 2025

📢 Gunra ransomware: enquête technique sur un groupe de double extorsion actif depuis avril 2025
📝 Source: The Raven File — enquête publiée fin septembre 2025 après quatre mois d’analyse sur...
📖 cyberveille : https://cyberveille.ch/posts/2025-09-26-gunra-ransomware-enquete-technique-sur-un-groupe-de-double-extorsion-actif-depuis-avril-2025/
🌐 source : https://theravenfile.com/2025/09/23/gunra-ransomware-what-you-dont-know/
#Data_Leak_Site__DLS_ #Double_extorsion #Cyberveille

Gunra ransomware: enquête technique sur un groupe de double extorsion actif depuis avril 2025

Source: The Raven File — enquête publiée fin septembre 2025 après quatre mois d’analyse sur le groupe de ransomware Gunra. Le billet centralise l’historique, l’infrastructure (DLS, négociations), l’analyse d’échantillons Windows/Linux, les TTP MITRE et des IOC. • Victimologie et ciblage: Gunra opère une double extorsion, affiche ses victimes sur un Data Leak Site (DLS) et a ajouté 18 victimes entre avril et septembre 2025. Les pays les plus touchés incluent Corée du Sud, Brésil, Japon, Canada, E.A.U., Égypte, Panama, ainsi que Colombie, Nicaragua, Croatie, Italie. À date, aucune victime américaine; seul pays anglophone ciblé: Canada. Secteurs: manufacturing, santé, technologie, services, finance. L’auteur avance des hypothèses sur l’absence de cibles US.

CyberVeille

CyberVeille.ch Aug 27, 2025

📢 Underground : analyse d’un ransomware actif dans le monde, y compris en Corée du Sud
📝 Selon ASEC (AhnLab), le groupe « Underground » conduit des attaques ransomware continues à l’échelle mondiale, avec une reprise d’activité confirmée par...
📖 cyberveille : https://cyberveille.ch/posts/2025-08-27-underground-analyse-dun-ransomware-actif-dans-le-monde-y-compris-en-coree-du-sud/
🌐 source : https://asec.ahnlab.com/en/89835/
#Chiffrement_AES_RSA #Double_extorsion #Cyberveille

CyberVeille.ch Aug 18, 2025

📢 Securotrop : interview d’un nouveau groupe RaaS focalisé sur l’exfiltration ciblée
📝 Selon SuspectFile (SuspectFile.com), cette interview présente Securotrop, un groupe de ransomware apparu début 2...
📖 cyberveille : https://cyberveille.ch/posts/2025-08-18-securotrop-interview-dun-nouveau-groupe-raas-focalise-sur-lexfiltration-ciblee/
🌐 source : https://www.suspectfile.com/a-young-ransomware-group-an-ancient-risk-securotrop-the-interview/
#Double_extorsion #IOC #Cyberveille

Securotrop : interview d’un nouveau groupe RaaS focalisé sur l’exfiltration ciblée

Selon SuspectFile (SuspectFile.com), cette interview présente Securotrop, un groupe de ransomware apparu début 2025 qui opère comme affilié RaaS sur l’écosystème Qilin, avec une image séparée et une approche sélective centrée sur l’exploitation des données exfiltrées. • Positionnement et cible: Securotrop se veut distinct par une focalisation sur l’analyse des documents exfiltrés (états financiers, P&L, listes d’actifs, clients, documents opérationnels). Le groupe affirme éviter les secteurs santé et gouvernement pour viser des cibles commerciales et maintient un blog .onion indépendant listant actuellement 10 victimes au format texte. L’objectif est de bâtir une réputation de constance dans la tenue des promesses de publication/leak. 🔎

CyberVeille