Les organisations européennes sont parmi les plus ciblées au monde. Fortgale identifie l'attaquant en phase précoce — accès initial, escalade, reconnaissance, mouvement latéral — avant qu'il ne touche les données ou les sauvegardes. Confinement médian ~11 minutes.
Au moment où un attaquant atteint les sauvegardes, le chiffrement est déjà imminent. Le SOC Fortgale les intercepte 21 jours plus tôt, dans les phases d'accès précoce — quand ils sont encore bruyants, visibles et confinables.
Le SOC agit dans les quatre premières phases de la kill chain — accès initial, escalade, reconnaissance, mouvement latéral — pendant les 21 jours de dwell time moyen. Détection comportementale MITRE ATT&CK, avant que l'attaquant touche les données ou les sauvegardes.
Surveillance de l'infrastructure C2 de LockBit, RansomHub, Play, Akira, Black Basta, Cl0p, Medusa, Qilin, BlackCat. Quand un groupe prépare une campagne, Fortgale le sait en premier.
Les SIEM/EDR génèrent des milliers d'alertes par jour ; sans analystes spécialisés, c'est du bruit. Fortgale connaît les TTP spécifiques des groupes qui frappent les marchés européens et reconnaît un accès initial avant qu'il ne devienne une compromission.
Le ransomware n'est pas une explosion : c'est une opération de 21 jours. Le SOC Fortgale opère dans les quatre premières phases, où l'attaquant est encore visible et confinable. L'exfiltration et le chiffrement ne surviennent pas si l'interception a eu lieu en amont.
Phishing, VPN/RDP exposés, identifiants volés, vulnérabilités connues. Fortgale détecte : connexions anormales, impossible geo-velocity, IoC dark-web, trafic vers des C2 connus.
Kerberoasting, abus de compte de service, exploitation AD-CS. Fortgale détecte : patterns UEBA, anomalies sur les tickets Kerberos, escalade Domain Admin hors baseline.
Cartographie réseau, assets critiques, serveurs de fichiers, sauvegardes, AD. Fortgale détecte : énumération SMB anormale, requêtes LDAP massives, scans internes hors horaires.
Pass-the-Hash, RDP latéral, abus PsExec vers DC/ESXi/backup. Fortgale isole ici : hôte isolé en ~8 s, confinement médian ~11 min. L'attaque s'arrête.
Double extorsion : données confidentielles, contrats, IP, e-mails publiés sur des sites de fuite. Ne se produit pas quand Fortgale agit dans les phases 1-4.
Phase finale : chiffrement massif, arrêt de la production, demande de rançon. Ne se produit pas quand Fortgale agit dans les phases 1-4.
Chaque groupe sur cette liste a frappé des clients européens dans les 24 derniers mois. Les TTP sont intégrés dans les règles de détection du SOC.
RaaS le plus actif contre les marchés européens. Double extorsion, exploits VPN/RDP, mouvement latéral agressif.
RaaS depuis 2024. 9,8 % mondialement. Cible les infrastructures critiques, la santé, la finance, les gouvernements.
Groupe fermé, sans négociation publique. Cible l'industrie, les gouvernements, le transport, le juridique.
Double extorsion, ransomware Linux + Windows + ESXi. Cible les PME, l'éducation, l'hôtellerie.
Héritiers de Conti. Distributeur QakBot. Cible la santé, l'industrie, la construction, la finance.
Spécialiste zero-day : MOVEit, GoAnywhere, Accellion. Attaques supply chain sur la finance, la santé, le juridique.
Blog public avec compte à rebours. Cible l'éducation, le secteur public, l'industrie, la santé.
Go & Rust, VMware ESXi. Cible la santé, les infrastructures critiques, l'industrie.
Basé sur Phobos. Cible les PME, la construction, le retail, le transport.
Ex-membres de Hive. Focus vol de données : industrie, finance, logistique.
Enchères publiques des données volées. Cible le secteur public, la santé, l'éducation, la défense.
Basé sur Rust. Triple extorsion (chiffrement + fuite + DDoS). Santé, énergie, industrie, finance.
Surveillance des groupes actifs contre les marchés européens avec des flux IoC, TTP mappés MITRE, early warning sur les nouvelles campagnes. Distribués au SIEM via STIX/TAXII.
Détection comportementale sur les quatre premières phases de la kill chain : accès anormal, escalade de privilèges, reconnaissance interne, mouvement latéral. Signatures Mimikatz/Cobalt Strike, patterns UEBA, IoC dark-web.
Isolation hôte ~8 s, confinement médian ~11 min. Réponse cross-outils (EDR, firewall, IAM), escalade directe vers le CISO, support à la notification CSIRT dans les 24h NIS2.
Forensique chain-of-custody, éradication, recovery, support aux notifications CSIRT national (NIS2 24h) et DPA (RGPD 72h), communication direction et juridique.
Le SOC européen orchestrant la surveillance, le triage et la réponse sur tous les groupes ransomware actifs en Europe.
Découvrir le SOC →EDR/XDR gouverné par le SOC européen. Triage en <15 min. Étend la détection ransomware au-delà de l'antivirus traditionnel.
Découvrir MDR →Flux propriétaires sur les 12 groupes ransomware actifs. Early warning quand une campagne prépare votre secteur.
Découvrir CTI →Phishing (pièces jointes/liens e-mail), VPN/RDP mal configurés, vulnérabilités non patchées, supply chain logicielle. 70 % abusent des identifiants volés ou des accès distants exposés. Tous les vecteurs laissent des traces détectables.
Non. Les groupes modernes (LockBit 3.0, RansomHub) ciblent les sauvegardes avant le chiffrement. La double extorsion rend la restauration inutile si les données ont déjà été exfiltrées. Des sauvegardes immuables air-gapped + un système de détection précoce sont nécessaires.
Dans les quatre premières phases : accès initial, escalade de privilèges, reconnaissance interne, mouvement latéral. C'est là — dans les 21 jours de dwell time moyen avant le chiffrement — que l'attaquant est encore visible et confinable. Quand Fortgale agit en amont, exfiltration et chiffrement ne se produisent pas.
Isolez immédiatement (câbles, WiFi coupés) mais N'ÉTEIGNEZ PAS les appareils (les traces forensiques en mémoire volatile seraient perdues). Ne payez pas avant une évaluation. Contactez l'IR. Fortgale 24·7 : +39 02 8969 2266. Entités NIS2/DORA : notification CSIRT national sous 24h.
L'industrie en tête, suivie des services professionnels, IT, transport, construction. Géographie : cœurs industriels en Italie, Allemagne, France et Benelux. Aucune entreprise n'est trop petite pour être une cible.
Cela dépend. Brèche de données personnelles RGPD → DPA 72h. NIS2 → CSIRT national early warning 24h. Les deux peuvent coexister. Fortgale accompagne tout le processus post-incident y compris les notifications aux autorités.
Profil, TTPs, leak sites, infrastructure, modalités de négociation : recherche verticale sur les gangs actifs contre l'Europe. Quand nous intervenons sur un incident, nous savons déjà qui ils sont et ce qu'ils font — nous n'improvisons pas.
Intelligence · Phishing Kit · Q1 2026 April 24, 2026Fortgale CTI14 min readRPT-26-0424 Observation of the quarter The 2026 phishing ecosystem has outpaced tradition…
Lire l'article →
In the high-stakes world of venture capital and corporate funding, where millions hang in the balance and sensitive financial data flows freely, a new breed of cyber threat is em…
Lire l'article →
In February 2026, the Fortgale Incident Response team investigated a multi-stage intrusion attributed to Mora_001, a Russian-origin threat actor exploiting Fortinet vulnerabiliti…
Lire l'article →
UPDATES: 27.11.2024: As mentioned by TrustWave, "Supercar Phishing Kit" has an high level of overlapping with the most recent update of "Rockstar 2FA Phishing-as-a-Service" 26.09…
Lire l'article →
In the evolving landscape of cybersecurity threats, Fortgale is tracking PhishSurf Nebula, an advanced Cyber Espionage group active since 2021 and primarily targeting entities wi…
Lire l'article →
Fortgale has been tracking an Italian Threat Actor, internally dubbed as Nebula Broker, since March 2022. The actor uses self-made malware (BrokerLoader) to compromise Italian sy…
Lire l'article →Pas de funnel. Pas de démo générique. Nous vous apportons un Report construit sur votre secteur et des analystes avec autorité de décision.
Aucune séquence de nurturing, aucune réponse automatique. Un de nos analystes vous rappelle sous un jour ouvré.
Le Report complet (executive summary · IoC opérationnels · runbook technique) est confidentiel. Envoyez-nous deux informations et un de nos analystes vous recontacte avec l'accès et un bref briefing technique.
Réponse en 30 minutes, confinement en 1 à 4 heures. Même si vous n'êtes pas client Fortgale.
