Netcrook Logo
đŸ‘€ GHOSTCOMPLY
đŸ—“ïž 16 Dec 2025   đŸ—‚ïž Cyber Warfare    

Dans l’antre du Gentlemen’s Club : un nouveau syndicat de ransomware frappe usines et hîpitaux à travers le monde

Un groupe de ransomware furtif sĂšme rapidement le chaos dans l’industrie manufacturiĂšre et la santĂ©, utilisant des tactiques sophistiquĂ©es et une cryptographie de pointe.

Tout a commencĂ© discrĂštement en aoĂ»t dernier : une poignĂ©e d’intrusions mystĂ©rieuses dans des usines et des cliniques, des donnĂ©es enfermĂ©es derriĂšre des barreaux numĂ©riques, des notes de rançon signĂ©es d’une politesse glaçante. Mais Ă  l’automne, « Gentlemen » Ă©tait dĂ©jĂ  un nom murmurĂ© dans les cercles de cybersĂ©curitĂ© de SĂ©oul Ă  SĂŁo Paulo. Aujourd’hui, prĂ©viennent les chercheurs, ce nouveau venu s’est hissĂ© parmi les menaces de ransomware les plus redoutables au monde - visant les artĂšres vitales de l’industrie et de la mĂ©decine avec une efficacitĂ© implacable.

Selon l’ASEC sud-corĂ©en, l’émergence de Gentlemen marque un nouveau chapitre dans la saga des ransomwares. Contrairement aux attaques bruyantes et dispersĂ©es d’autrefois, les campagnes de Gentlemen sont ciblĂ©es, sur mesure, et terriblement efficaces. Le malware du groupe, Ă©crit en langage Go, est conçu pour n’opĂ©rer que dans des environnements soigneusement sĂ©lectionnĂ©s par ses crĂ©ateurs - grĂące Ă  une vĂ©rification de mot de passe obligatoire qui dĂ©joue analystes et bacs Ă  sable.

Une fois Ă  l’intĂ©rieur d’un rĂ©seau d’entreprise, Gentlemen dĂ©sactive Windows Defender, arrĂȘte les services de sauvegarde et de base de donnĂ©es, et efface les journaux systĂšme - aveuglant les dĂ©fenseurs avant de lancer son acte principal : le chiffrement des fichiers. Mais il ne s’agit pas d’un simple verrouillage. Le malware utilise un mĂ©lange de X25519 (un Ă©change de clĂ©s Diffie-Hellman Ă  courbe elliptique) et du chiffre de flux XChaCha20, gĂ©nĂ©rant une clĂ© unique pour chaque fichier. Ce procĂ©dĂ© garantit que, sans la clĂ© privĂ©e des attaquants, la dĂ©chiffrement est pratiquement impossible - mĂȘme si les forces de l’ordre saisissent les donnĂ©es chiffrĂ©es.

Les victimes reçoivent une note de rançon, les informant que leurs fichiers sont verrouillĂ©s et que leurs donnĂ©es confidentielles ont Ă©tĂ© volĂ©es. La menace : payer, ou voir leurs informations sensibles divulguĂ©es sur le dark web. Pour accentuer la pression psychologique, le groupe propose de dĂ©chiffrer gratuitement deux fichiers en guise de preuve qu’ils dĂ©tiennent bien les clĂ©s du royaume numĂ©rique.

L’impact se fait dĂ©jĂ  sentir. La sociĂ©tĂ© de cybersĂ©curitĂ© industrielle Dragos a reliĂ© Gentlemen Ă  une sĂ©rie d’attaques contre des entreprises manufacturiĂšres et de construction au troisiĂšme trimestre 2025, tandis que les secteurs de la santĂ© et de l’assurance ont Ă©galement Ă©tĂ© durement touchĂ©s. Le groupe sĂ©vit en Asie-Pacifique, en AmĂ©rique du Nord et du Sud, ainsi qu’au Moyen-Orient, sans montrer de signe de ralentissement.

MalgrĂ© leur ascension fulgurante, la vĂ©ritable identitĂ© de Gentlemen reste obscure. Rien n’indique que le groupe exploite une plateforme Ransomware-as-a-Service, ni s’il s’agit d’une nouvelle marque d’un groupe connu ou d’un syndicat entiĂšrement nouveau. Une chose est sĂ»re : leur expertise technique et leur ambition mondiale en font l’un des adversaires les plus dangereux pour les infrastructures critiques aujourd’hui.

Alors que les organisations s’efforcent de se dĂ©fendre, la campagne des Gentlemen rappelle crĂ»ment que le ransomware Ă©volue plus vite que jamais. Dans cette nouvelle Ăšre, vigilance, dĂ©fense en profondeur et rĂ©action rapide sont peut-ĂȘtre les seuls remparts entre la routine et une catastrophe.

WIKICROOK

  • Double extorsion : La double extorsion est une tactique de ransomware oĂč les attaquants chiffrent les fichiers et volent aussi des donnĂ©es, menaçant de les divulguer si la rançon n’est pas payĂ©e.
  • Bring Your Own Vulnerable Driver (BYOVD) : Le BYOVD consiste Ă  installer un pilote lĂ©gitime mais vulnĂ©rable pour contourner les protections de sĂ©curitĂ© ou obtenir un accĂšs plus profond Ă  un systĂšme informatique.
  • XChaCha20 : XChaCha20 est un chiffre de flux rapide et sĂ©curisĂ©, idĂ©al pour chiffrer de gros fichiers et des flux de donnĂ©es, rĂ©duisant les risques de rĂ©utilisation de nonce.
  • X25519 : X25519 est une mĂ©thode Diffie-Hellman Ă  courbe elliptique rapide et sĂ©curisĂ©e, utilisĂ©e pour gĂ©nĂ©rer des clĂ©s de chiffrement partagĂ©es pour des communications sĂ©curisĂ©es.
  • Ransomware : Le ransomware est un logiciel malveillant qui chiffre ou verrouille des donnĂ©es, exigeant une rançon des victimes pour restaurer l’accĂšs Ă  leurs fichiers ou systĂšmes.
Ransomware Cybersecurity Data Theft
GHOSTCOMPLY GHOSTCOMPLY
Compliance & Legal-Tech Advisor
← Back to news