Cybersécurité5 juillet 2026· via Security Affairs

Une agence américaine paie 1 million de dollars à des extorqueurs sans rançongiciel

Une agence américaine paie 1 million de dollars à des extorqueurs sans rançongiciel

Image : Security Affairs

Une agence du gouvernement américain a versé environ 1 million de dollars en bitcoins à un acteur menaçant appelé Kairos en juin dernier, alors que ce groupe n’a jamais déployé de rançongiciel. Selon une nouvelle étude de cas menée par Ransom-ISAC, l’entité s’est appuyée sur le vol de données et la menace de publication pour obtenir ce paiement.

Une évolution des tactiques, pas du vocabulaire

Cet incident illustre comment l’extorsion numérique a dépassé le simple chiffrement de fichiers. Kairos aurait accédé aux systèmes via des attaques par force brute sur les identifiants, revendiqué le contrôle de plus de 1,6 million de fichiers et 2 téraoctets de données, puis exigé un paiement pour éviter leur diffusion. Aucun outil de chiffrement, clé de déchiffrement ou binaire de verrouillage n’a été utilisé, pourtant la victime a tout de même classé l’événement comme une attaque par rançongiciel. Le rapport suggère que ce terme ne reflète plus la réalité de nombreux incidents.

Qui est Kairos ? Qui a été ciblé ?

La reconstruction menée par Ransom-ISAC pointe vers une petite administration de comté qui a signalé une intrusion réseau en mai 2025. Bien que ni le comté ni Kairos n’aient confirmé ce lien, des documents de négociation divulgués mentionnent des fichiers internes et une archive post-paiement nommée « union.rar », correspondant aux révélations publiques du comté de Union, dans l’Ohio. Ce dernier a notifié 45 487 résidents et employés après la découverte de la faille, qui concernait des numéros de sécurité sociale, des informations financières, des empreintes digitales et des numéros de passeport volés. Les autorités ont évoqué un « rançongiciel » dans leur lettre de notification, montrant comment ce terme peut masquer la méthode réelle de compromission.

Cette affaire rappelle que des contrôles d’accès robustes et une surveillance continue restent des défenses essentielles contre les intrusions basées sur les identifiants, même lorsque le chiffrement n’est pas l’objectif final des attaquants.


Source : Security Affairs. Synthèse éditoriale assistée par IA — TechnoExpress.

Lire la source originale sur Security Affairs →

← Retour à l'accueil