Un nom derrière UNKN, visage derrière REvil
Les autorités allemandes disent avoir identifié UNKN, alias UNKNOWN, comme étant Daniil Maksimovich Shchukin, un Russe de 31 ans présenté comme l’un des chefs des groupes de rançongiciel GandCrab et REvil.
Selon le Bureau fédéral de la police criminelle allemande, cet homme aurait participé à au moins 130 actes de sabotage informatique et d’extorsion visant des victimes en Allemagne entre 2019 et 2021. Les enquêteurs évoquent aussi un second suspect, Anatoly Sergeevitsch Kravchuk.
L’affaire rappelle à quel point ces groupes ont marqué l’évolution du rançongiciel moderne. GandCrab puis REvil ont contribué à banaliser la double extorsion : non seulement les données sont chiffrées, mais leur publication est aussi utilisée comme levier de pression.
Stryker dit avoir été frappé par un effacement massif
À l’autre bout du spectre, un groupe de hacktivistes lié à l’Iran affirme avoir mené une attaque par effacement contre Stryker, un géant américain des technologies médicales basé dans le Michigan.
Le groupe Handala prétend avoir paralysé des bureaux dans 79 pays et effacé des données sur plus de 200 000 systèmes, serveurs et appareils mobiles. Dans le même temps, des milliers d’employés en Irlande auraient été renvoyés chez eux, signe d’un incident suffisamment sérieux pour perturber largement l’activité.
Les motivations avancées par les attaquants sont politiques. Ils disent agir en représailles à une frappe meurtrière en Iran, ce qui illustre une tendance inquiétante : la cyberattaque revendiquée comme prolongement direct d’un conflit.
Trigona affine ses méthodes pour rester discret
Autre évolution notable, les campagnes liées à Trigona utilisent désormais un outil d’exfiltration sur mesure, baptisé uploader_client.exe. L’objectif est clair : voler les données plus vite, tout en évitant les utilitaires grand public comme Rclone ou MegaSync, souvent détectés par les solutions de sécurité.
Les chercheurs de Symantec estiment que ce choix traduit une volonté de professionnaliser encore la chaîne d’attaque. En parallèle, d’autres outils servent à neutraliser les protections, notamment en exploitant des pilotes noyau vulnérables pour tuer des processus de défense.
Trigona n’est pas un nouveau venu. Lancé en 2022, le groupe avait déjà été perturbé en 2023 par des activistes ukrainiens, mais les observations récentes laissent penser qu’il a repris ses opérations avec des moyens plus sobres et plus ciblés.
Les entreprises restent la première ligne de défense
Ces trois dossiers ont un point commun : ils montrent que les groupes cyber s’adaptent vite, qu’il s’agisse d’anonymat, de sabotage ou d’évasion technique. Les victimes ne sont plus seulement des cibles financières, mais aussi des symboles, des infrastructures et des marques exposées.
Pour les entreprises, le message est simple : surveiller les mouvements latéraux, limiter les droits d’administration, tester la restauration des sauvegardes et garder un œil sur les outils d’exfiltration inhabituels. Dans un paysage aussi mouvant, la robustesse opérationnelle compte autant que la détection.