Montri - stock.adobe.com

Actualites

Ransomware : Qilin se renforce avec au moins deux nouveaux affidés

L’enseigne vient d’enchaîner les nouvelles revendications à un rythme inhabituellement soutenu. Pour plusieurs d’entre elles, la divulgation des données volées a été immédiate. Mais l’attaque apparaît bien antérieure.

Valéry Rieß-Marchive
par
Publié le: 08 avr. 2025

En l’espace d’une semaine, une vingtaine de revendications de cyberattaques ont été publiées sur le site vitrine de l’enseigne de ransomware Qilin. Un chiffre inhabituel pour celle-ci qui en publiait, en moyenne, autant par mois en 2024. Que s’est-il passé ?

Qilin semble avoir recruté. Cela commence par un certain « devman », qui a revendiqué les attaques contre le Taïwanais Optimax Technology et le logisticien français Doumen – une attaque qui avait précédemment été revendiquée sous la bannière d’une autre enseigne, Lynx. 

Mais cela ne fait que deux attaques sur le total, et toutes deux récentes. Optimax Technology vient d’ailleurs tout juste de communiquer publiquement sur celle qu’il a subie. Quid des autres ?

Une grosse douzaine d’entre elles présentent une particularité : elles ont été revendiquées en même temps que les données volées aux victimes correspondantes ont été divulguées sur l’infrastructure opérée par Qilin – un serveur FTP.

Les dates mentionnées dans les noms des fichiers, et dans certains cas leurs dates de création, donnent des indications sur la date à laquelle l’attaque correspondante est entrée dans sa phase finale, juste après l’exfiltration des données des victimes.

Et là, surprise : ces dates suggèrent qu’une part significative de ces victimes a été effectivement attaquée entre août et décembre 2024. La convention adoptée pour la nomination des dossiers contenant leurs données suggère en outre qu’elles ont été vraisemblablement attaquées par un même acteur. 

Celui-ci aurait ainsi rejoint les rangs de Qilin après les faits, sans avoir, au préalable, procédé à la moindre revendication publique.

Ces éléments tendent à suggérer un ancien membre de Black Basta. L’éclatement de ce groupe a commencé à l’été 2024. Ses victimes étaient généralement revendiquées par lots, à intervalles réguliers.

Tout récemment, Yelisey Bohuslavskiy, de RedSense, pointait justement Qilin parmi les points d’atterrissage des anciens de Black Basta, aux côtés d’Akira et de Cactus, entre autres.

Pour approfondir sur Menaces, Ransomwares, DDoS