Action rapide, récupération assurée : l’excellence en réponse aux incidents

Notre Security Operations Centre (SOC) fonctionne en continu, garantissant une disponibilité immédiate en cas d’incident. Une fois engagés, nos spécialistes interviennent sans délai – déploiement à distance ou sur site le jour même pour commencer la containment et la récupération.

Nous travaillons avec vos équipes internes pour déchiffrer et récupérer les données critiques, afin de remettre vos systèmes en ligne rapidement. Notre objectif : réduire les temps d’arrêt et limiter l’impact opérationnel et réputationnel de l’attaque.

Les spécialistes d’Integrity360 sont formés pour mener des enquêtes forensiques approfondies, identifier la cause de l’incident, ce qui a été affecté et comment éviter une récurrence. Nous pouvons également soutenir les procédures légales ou réglementaires avec des services d’expertise et la gestion des preuves.

Integrity360 est certifié dans le cadre du Cyber Incident Response (CIR) Scheme Assurance et a passé des évaluations conformes aux normes NCSC, garantissant notre capacité à fournir des services de réponse aux incidents de premier niveau. 

Le groupe de ransomware Akira a été identifié pour la première fois en mars 2023. Il cible principalement les réseaux d’entreprises en Amérique du Nord, avec des attaques signalées dans des secteurs tels que l’éducation, la finance, l’assurance, l’immobilier, la fabrication, les loisirs et le conseil en affaires. Akira utilise des tactiques de double extorsion, volant des données sensibles avant de chiffrer les systèmes afin de faire pression sur les victimes pour qu’elles paient une rançon. 

ALPHV—également connu sous le nom de BlackCat, AlphaV ou AlphaVM—est une opération de ransomware-as-a-service (RaaS) active depuis novembre 2021. Il est reconnu comme le premier groupe de ransomware à utiliser le langage de programmation Rust, permettant un malware plus rapide et adaptable. ALPHV est tristement célèbre pour ses tactiques de triple extorsion : chiffrement des fichiers, exfiltration de données sensibles et lancement d’attaques DDoS pour faire pression sur les victimes. 

 RansomHub est un groupe RaaS détecté pour la première fois en février 2024, composé de membres répartis dans le monde entier. Connu pour ses opérations structurées, RansomHub impose des règles strictes à ses affiliés lors des attaques—les violations peuvent entraîner une exclusion du groupe. Les organisations victimes sont publiquement nommées sur le site de fuite du darknet de RansomHub. Le groupe s’engage à ne pas attaquer les pays de la CEI, Cuba, la Corée du Nord, la Chine et la Roumanie. 

 Qilin, également connu sous le nom d’Agenda, est un groupe RaaS qui a ciblé des organisations dans divers secteurs à travers le monde. Cet acteur de la menace est géré par un utilisateur connu sous le nom de « Qilin » sur des forums cybercriminels clandestins. Le groupe fournit des variantes de ransomware personnalisées à ses affiliés en échange d’une part des paiements de rançon. Le malware de Qilin est adapté à des cibles spécifiques, rendant ses attaques plus efficaces et difficiles à détecter. Actif à l’échelle mondiale, le groupe est réputé pour son adaptabilité et sa liste croissante de victimes. 

Clop est un groupe de ransomware sophistiqué identifié pour la première fois en février 2019, connu pour cibler de grandes entreprises dans plusieurs secteurs à travers le monde. Le groupe mène des attaques d’extorsion de données et de ransomware, exploitant souvent des vulnérabilités zero-day pour accéder aux réseaux d’entreprise. Clop a été lié à plusieurs campagnes à fort impact, notamment les attaques MOVEit Transfer, qui ont entraîné le vol de données sensibles et des millions en paiements de rançon. Son expertise technique et ses tactiques agressives font de Clop une menace majeure pour les organisations à l’échelle mondiale. 

Le groupe de ransomware Play—également connu sous le nom de PlayCrypt—est apparu en juin 2022, déployant son propre ransomware personnalisé dans des attaques ciblées. Play utilise un modèle de double extorsion, volant des données sensibles avant de chiffrer les fichiers. Si les victimes refusent de payer la rançon, les données volées sont publiées sur le site de fuite du groupe pour accroître la pression. Cette tactique a fait de Play une préoccupation croissante pour les organisations du monde entier. Alors que les attaques initiales visaient des industries spécifiques, Play a depuis élargi son champ d’action, ciblant un éventail plus large de secteurs. 

SafePay est un groupe de ransomware récemment apparu, observé pour la première fois fin 2024. Il utilise un modèle de double extorsion, déployant une version modifiée de LockBit pour voler et chiffrer des données sensibles provenant de systèmes critiques. Une fois compromis, les victimes font face à des demandes de rançon sous la menace d’une exposition des données. Les opérations de SafePay impliquent un accès initial, des activités post-compromission et des mouvements latéraux dans les réseaux—souvent en exploitant des services de bureau à distance vulnérables. 

Scattered Spider est un groupe cybercriminel motivé par des gains financiers, actif depuis mai 2022. Connu pour ses campagnes sophistiquées d’extorsion et de ransomware, le groupe a principalement ciblé des organisations dans les secteurs des télécommunications, des arts, du divertissement, des loisirs et, plus récemment, du commerce de détail. Scattered Spider se distingue également par son intérêt pour la compromission des plateformes SaaS et des environnements de fournisseurs de services cloud (CSP) afin de voler des données sensibles. Le groupe utilise des techniques avancées pour accéder aux systèmes, se déplacer latéralement et exfiltrer des informations précieuses à des fins d’extorsion. 

Lynx Ransomware est un groupe RaaS observé pour la première fois en juillet 2024. Motivé par des gains financiers, le groupe utilise des tactiques d’extorsion simples et doubles—chiffrement des données et menace de fuite sauf paiement d’une rançon. Le 24 juillet 2024, Lynx a publié une déclaration affirmant éviter de cibler les institutions gouvernementales, les hôpitaux et les organisations à but non lucratif. Une fois le système compromis, le groupe dépose un fichier « readme.txt » contenant un identifiant unique et un lien vers son portail basé sur Tor. Comme de nombreux opérateurs RaaS, Lynx maintient un site de fuite de données (DLS) pour lister les victimes et les pousser à payer. 

Medusa est une plateforme RaaS identifiée pour la première fois en 2021, opérée par un groupe cybercriminel motivé par des gains financiers. Les acteurs derrière Medusa exploitent principalement des vulnérabilités non corrigées pour accéder aux réseaux d’entreprise. Une fois à l’intérieur, ils déploient un ransomware pour chiffrer les données et exiger un paiement pour leur restitution. Medusa a lancé des attaques dans un large éventail d’industries, notamment la technologie, l’éducation, la fabrication, la santé et le commerce de détail, ce qui en fait une menace persistante et étendue. 

Détecté pour la première fois en novembre 2023, DragonForce est un groupe de ransomware en pleine émergence dont les origines restent non vérifiées. Bien qu’il soit relativement nouveau, DragonForce s’est rapidement imposé et figure désormais parmi les 20 principaux groupes de ransomware mondiaux en activité. Le groupe est connu pour lancer des attaques très perturbatrices utilisant des techniques de double extorsion—vol de données avant chiffrement des systèmes pour faire pression sur les victimes. DragonForce cible des organisations dans divers secteurs, et son activité démontre un haut niveau de coordination et de compétence technique. 

KillSec a commencé comme un collectif hacktiviste mais a évolué pour devenir un fournisseur RaaS, offrant activement des outils de ransomware personnalisables à des affiliés pour l’extorsion cybercriminelle. Désormais acteur motivé par des gains financiers, KillSec a démontré ses capacités croissantes en ciblant des organisations dans un large éventail d’industries à travers le monde.