🧨 Deux nouvelles victimes sur le tableau de chasse d’Arcus Ransomware
Le 27 juillet 2025, le groupe de ransomware Arcus a ajouté deux nouvelles cibles à son site de leak sur le dark web :
- 🎓 Le Collège Saint Jean-Baptiste de La Salle (France)
- 🖥️ L’entreprise CCI Torrevieja (Espagne), spécialisée dans les services IT
⏳ Un compte à rebours lancé
Sur son portail de publication, Arcus a lancé le traditionnel compte à rebours qui annonce la publication des données exfiltrées d’ici environ une semaine si les victimes refusent de payer la rançon. Ce mode opératoire est devenu un classique dans la cybercriminalité : pression psychologique, réputation ternie et mise en danger de données sensibles.
🔍 Qui est Arcus Ransomware ?
Ce groupe est relativement nouveau sur la scène cybercriminelle, apparu début 2025. Arcus se distingue par une approche à la fois technique et stratégique :
- Double extorsion : chiffrement + exfiltration
- Communication soignée sur le dark web (portail, branding, délais, logos)
- Ciblage d’organisations vulnérables : éducation, collectivités, PME
Malgré leur récente apparition, leurs infrastructures de publication et leur méthode de pression suggèrent un niveau de professionnalisation élevé, peut-être héritée d’anciens groupes dissous ou réorganisés (ex : Conti, LockBit, Hive…).
🎯 Pourquoi ces deux cibles ?
🎓 Le Collège Saint Jean-Baptiste de La Salle :
- Probablement un établissement scolaire privé ou sous contrat
- Les établissements scolaires sont des cibles faciles : infrastructures vieillissantes, peu de protection, personnels non sensibilisés, données personnelles d’élèves et de familles.
🖥️ CCI Torrevieja (Espagne) :
- Société informatique, probablement sous contrat avec des clients publics ou privés
- Si le SI de CCI est compromis, c’est potentiellement une porte d’entrée vers leurs clients via rebond (supply chain attack)
📉 Risques potentiels si les données sont publiées
- Données personnelles : élèves, familles, enseignants (noms, adresses, emails, informations médicales, etc.)
- Comptes de messagerie et mots de passe pouvant permettre une compromission plus large
- Données clients ou projets sensibles pour la société espagnole, pouvant impacter d’autres organisations
Cela ouvre la voie à :
- Phishing ciblé / spear-phishing
- Usurpation d’identité
- Réutilisation des accès pour d’autres attaques
🛡️ Recommandations immédiates
Pour les victimes présumées :
- 💬 Ne pas céder à la panique, mais communiquer rapidement avec les parties concernées
- 🚨 Contacter l’ANSSI (pour la France) ou le CCN-CERT (pour l’Espagne)
- 🧹 Réaliser une analyse forensique complète du SI
- 🔐 Changer tous les mots de passe et vérifier les logs d’accès
- 🔎 Informer les utilisateurs en cas de fuite confirmée (obligation RGPD)
Pour les autres structures (écoles, PME, IT) :
- ✔️ Sauvegardes hors ligne régulières
- 🧑🏫 Sensibilisation aux ransomwares
- 👮♂️ Mise en place de pare-feu, EDR, MFA, segmentation réseau
🧠 En conclusion
Cette nouvelle attaque montre encore une fois la fragilité des structures éducatives et des PME IT, souvent laissées seules face à la montée en puissance des gangs cybercriminels.
Le cas du collège français est particulièrement préoccupant : les mineurs sont des victimes collatérales dans des jeux de pouvoir entre groupes mafieux numériques et organisations peu préparées.
🎙️ Une cyberattaque contre une école, c’est plus qu’un incident technique : c’est une violation du sanctuaire éducatif et de la confiance sociale.
