Des victimes mieux connues par leurs attaquants
Un négociateur en rançongiciel a plaidé coupable après avoir transmis aux hackers BlackCat des informations d’assurance appartenant à des victimes. Une faille morale majeure, car ces détails donnaient aux attaquants une estimation très précise de la capacité de paiement de chaque cible.
Dans ce type d’affaire, la menace ne vient plus seulement du chiffrement des systèmes. Elle s’étend à tout ce qui peut aider à fixer le montant d’une extorsion, depuis les polices d’assurance jusqu’aux échanges internes entre intermédiaires, assureurs et entreprises touchées.
Des routeurs anciens transformés en outils d’espionnage
Une autre campagne, attribuée à un acteur lié au renseignement militaire russe, a exploité des routeurs vieillissants pour récupérer des jetons d’authentification Microsoft Office. Pas besoin de malware sophistiqué: des failles connues et des équipements non mis à jour ont suffi à ouvrir la porte.
Selon les chercheurs cités, plus de 18 000 routeurs ont été exposés au pic de l’opération. Le ciblage visait notamment des administrations, des ministères et des fournisseurs de messagerie, avec une logique simple: rester discret, capter des identifiants, puis se fondre dans le trafic légitime.
Quand la pression ne se paie plus
Au Royaume-Uni, des spécialistes alertent sur une montée des attaques hacktivistes à grande échelle. Leur différence avec les rançongiciels classiques est brutale: il n’existe pas toujours d’option de paiement pour accélérer la reprise. Les entreprises et institutions doivent alors résister sans levier financier pour négocier.
Cette évolution change la nature de la réponse. La continuité d’activité, les sauvegardes et les plans de crise deviennent plus importants encore, car l’objectif n’est pas seulement d’éviter la perte de données, mais de tenir face à des campagnes parfois politiques, parfois purement destructrices.
Des attaques plus discrètes, mais pas moins dangereuses
Les chercheurs évoquent aussi des intrusions menées à travers des machines virtuelles QEMU détournées pour contourner les contrôles de sécurité et déposer un rançongiciel. Le procédé est plus technique, mais le résultat reste le même: masquer la charge malveillante derrière un environnement de calcul banal.
Ce type de stratégie rappelle une tendance nette: les assaillants cherchent moins à frapper fort qu’à frapper juste. Ils privilégient les chaînes d’attaque courtes, les composants négligés et les zones où la surveillance est moins stricte.
Une leçon commune: la faiblesse la plus rentable est souvent ancienne
Qu’il s’agisse d’un routeur obsolète, d’un échange d’informations sensibles ou d’une machine virtuelle mal surveillée, le point commun est clair. Les cybercriminels exploitent surtout ce qui a été laissé en bord de route: équipements non maintenus, procédures trop souples et données trop circulantes.
La meilleure réponse n’est donc pas seulement technique. Elle passe aussi par une discipline plus stricte autour des accès, des mises à jour, du partage d’informations et des tiers de confiance.
Sources
- Ransomware negotiator pleads guilty after leaking victims' insurance details to 'BlackCat' hackers - Tom's Hardware
- Russia Hacked Routers to Steal Microsoft Office Tokens
- Hacktivist attacks at scale: UK could face hacktivist threats akin to some of the biggest ransomware incidents but with 'no option to pay a ransom to help recover' - TechRadar
- "Essentially invisible:" How hackers 'trojan-horsed' QEMU virtual machines to bypass security and drop ransomware - TechRadar