Netcrook Logo
👤 SECPULSE
🗓️ 23 Dec 2025   🗂️ Cyber Warfare    

Au cœur du labyrinthe du ransomware Geometrics : comment un syndicat silencieux trace la carte de l’extorsion numérique

Plongée dans l’univers obscur de Geometrics, un gang de ransomware qui grave discrètement sa marque sur le paysage mondial de la cybercriminalité.

À première vue, Geometrics pourrait sembler être un terme anodin issu d’un manuel de mathématiques. Mais dans le monde souterrain de la cybercriminalité, ce nom devient rapidement synonyme de peur et de perturbation. Ces derniers mois, un groupe de ransomware opérant sous ce nom a discrètement - mais impitoyablement - pris pour cible des organisations de tous secteurs, laissant derrière lui une traînée de fichiers chiffrés et de dirigeants anxieux. Qui sont les cerveaux derrière cette menace émergente, et qu’est-ce qui rend leurs tactiques si efficaces ?

Cartographier la menace : le mode opératoire de Geometrics

Geometrics est apparu sur les radars de surveillance de la cybercriminalité à la fin de l’année dernière, se manifestant discrètement au milieu du vacarme des activités de ransomware. Contrairement à des syndicats plus flamboyants, Geometrics reste discret, misant sur la furtivité et la précision. Leurs attaques commencent généralement par des courriels de phishing ou l’exploitation de vulnérabilités non corrigées dans les services d’accès à distance. Une fois à l’intérieur, les attaquants se déplacent latéralement, cartographiant les actifs les plus précieux du réseau avant de déployer leur charge utile de ransomware sur mesure.

Ce qui distingue Geometrics, c’est leur approche méticuleuse de l’extorsion. Ils ne se contentent pas de chiffrer les fichiers : ils exfiltrent aussi des données sensibles, créant ainsi une double menace pour les victimes. Payer, ou risquer de voir des informations confidentielles publiées sur des sites de fuite du darknet. Le groupe communique avec ses victimes via des portails de chat chiffrés, exigeant des paiements en cryptomonnaies comme le Bitcoin ou le Monero afin d’obscurcir la trace des transactions.

Les analystes en sécurité ont noté que le malware de Geometrics est hautement modulaire, permettant au gang d’adapter ses tactiques à différentes cibles. Certains incidents suggèrent une collaboration avec des brokers d’accès initiaux - des intermédiaires criminels qui vendent l’accès à des réseaux compromis - ce qui indique une opération professionnelle et bien organisée. Le site de fuite du groupe, surveillé par des services de renseignement sur les menaces comme Ransomfeed, liste les victimes et expose les données volées pour servir d’avertissement aux autres.

Malgré leur notoriété croissante, beaucoup de choses restent floues à propos de Geometrics. Des indices pointent vers une origine en Europe de l’Est, mais l’attribution dans le monde du ransomware est notoirement difficile. Ce qui est certain, c’est que leurs attaques gagnent en fréquence et en sophistication, reflétant une tendance plus large à la professionnalisation de l’extorsion numérique.

La suite

Alors que Geometrics continue d’étendre son empreinte, les organisations doivent rester vigilantes - renforcer leurs défenses, corriger les vulnérabilités et préparer des plans de réponse aux incidents. L’efficacité discrète du groupe marque une nouvelle phase dans l’évolution des ransomwares, où les acteurs les plus dangereux sont ceux qui opèrent sous le radar, préparant leur prochain coup avec une précision mathématique.

WIKICROOK

  • Ransomware : Un ransomware est un logiciel malveillant qui chiffre ou verrouille des données, exigeant un paiement des victimes pour restaurer l’accès à leurs fichiers ou systèmes.
  • Double extorsion : La double extorsion est une tactique de ransomware où les attaquants chiffrent les fichiers et volent aussi des données, menaçant de les divulguer si la rançon n’est pas payée.
  • Phishing : Le phishing est une cyberattaque où des messages frauduleux sont envoyés pour inciter les utilisateurs à révéler des données sensibles ou à cliquer sur des liens malveillants.
  • Initial Access Broker : Un Initial Access Broker est un cybercriminel qui s’introduit dans des systèmes et revend l’accès à d’autres attaquants, facilitant d’autres cybercrimes comme le ransomware ou le vol de données.
  • Leak Site : Un leak site est un site web où des cybercriminels publient ou menacent de publier des données volées pour faire pression sur les victimes et les inciter à payer une rançon.
Geometrics Ransomware Cybercrime
SECPULSE SECPULSE
SOC Detection Lead
← Back to news