Un affilié rançongiciel attaque une entreprise pétrolière basée en Ouzbékistan. Le groupe derrière le programme le bannit publiquement, présente des excuses formelles à la victime, et propose même de l'aider à récupérer ses données — gratuitement. Ce scénario, aussi étrange qu'il paraisse, s'est produit début juin 2026. Il n'est pas anecdotique. Il révèle des mécanismes structurels au cœur de l'économie ransomware-as-a-service que tout responsable sécurité en EMEA doit comprendre pour calibrer correctement sa posture de risque.
Eriell Group est une société de services pétroliers dont le siège social est établi en Ouzbékistan et dont le bureau corporatif principal se trouve à Moscou. Selon les informations rapportées par TechNadu, c'est Eriell elle-même qui a contacté Nova — le programme d'affiliation du groupe ransomware RAlord , pour signaler que l'une de ses machines avait été ciblée par l'un des affiliés du programme. Ce détail est capital : la victime s'est adressée directement à l'opérateur ransomware, non pas à une autorité policière, non pas à son prestataire de sécurité en priorité, mais à la structure criminelle elle-même. Ce réflexe n'a rien d'absurde dans ce contexte géopolitique précis , il traduit une connaissance implicite du fonctionnement de ces groupes et de la règle qu'ils se sont imposée.
Cette règle, c'est l'interdiction absolue de cibler des organisations situées dans les pays membres de la Communauté des États Indépendants. La CEI regroupe plusieurs anciennes républiques soviétiques, dont la Russie, l'Ouzbékistan, le Kazakhstan, l'Ukraine , avant 2022 du moins , et d'autres États de la région. Allan Liska, analyste en threat intelligence chez Recorded Future, confirme que cette restriction reste pleinement en vigueur en 2026. Elle n'est pas une règle morale. C'est un arrangement contractuel implicite entre les opérateurs de rançongiciels et les autorités locales : les groupes évitent les cibles domestiques, et en échange, les gouvernements ferment les yeux sur leurs activités dirigées vers l'Occident. Attaquer Eriell Group, c'est rompre ce pacte de non-agression. Et rompre ce pacte, c'est exposer l'ensemble de l'opération aux risques légaux et politiques que la règle était précisément censée neutraliser.
La réponse du programme Nova a été rapide et inhabituellement publique. Comme le documente The Register, Nova a publié des excuses formelles adressées à Eriell Group, banni l'affilié fautif de son programme, et s'est engagé à ne pas divulguer les données éventuellement exfiltrées. Plus surprenant encore : Nova a déclaré ne pas avoir chiffré de fichiers et a proposé d'accompagner Eriell Group dans son processus de récupération, sans frais. Le threat hunter Dominic Alvieri, cité par The Register, n'a pas mâché ses mots en qualifiant l'affilié de "dumbass of the day".
Cette réaction théâtrale a une logique froide. Nova ne protège pas Eriell par altruisme. Il protège l'ensemble du programme RAlord. Une plainte déposée par une entreprise ouzbèke ou russe auprès des autorités locales compétentes pourrait déclencher une enquête interne qui compromet l'ensemble de la structure, ses affiliés, ses serveurs d'infrastructure, ses flux financiers. Les excuses publiques servent à montrer aux autorités régionales que l'incident a été géré, que le contrevenant a été écarté, que l'ordre a été rétabli. C'est un signal de bonne foi envoyé aux puissances tutélaires, pas un geste humanitaire. Des détails opérationnels supplémentaires sur ce contexte sont disponibles via l'analyse publiée par CiphersSecurity.
La règle CEI est souvent présentée comme une curiosité, un détail folklorique de la cybercriminalité organisée. Elle mérite une lecture plus sérieuse. Son existence confirme que plusieurs groupes ransomware opèrent dans un cadre de tolérance étatique active, voire de coopération tacite. Ils ne sont pas simplement "basés" dans des juridictions permissives , ils sont, dans certains cas, des actifs stratégiques que les autorités locales préfèrent ne pas perturber tant qu'ils respectent les règles du jeu.
Ce modèle a des conséquences directes pour votre organisation si elle opère en EMEA et gère des relations avec des partenaires, des filiales ou des fournisseurs implantés dans ces zones géographiques. La compréhension fine de la cyber threat intelligence ne se limite pas à suivre les CVE et les indicateurs de compromission , elle implique d'intégrer la dimension géopolitique dans votre modèle de menace. Savoir que RAlord, DragonForce, VanHelsing et les opérateurs LockBit partagent tous cette restriction ne vous protège pas directement, mais cela vous aide à comprendre qui ils ciblent, pourquoi, et dans quelles circonstances leurs affiliés peuvent dévier de leurs règles opérationnelles habituelles.
Allan Liska le souligne avec clarté : cette règle n'a rien d'éthique. Elle est intégralement politique. Un opérateur rançongiciel basé à Moscou n'attaque pas des entreprises russes pour les mêmes raisons qu'un hacker hacktiviste éviterait de toucher à des hôpitaux. Il ne le fait pas parce que c'est mal , il ne le fait pas parce que cela lui coûterait sa liberté, ou sa vie dans les cas les plus extrêmes.
Pour un RSSI ou un directeur de la sécurité dans une banque européenne, une administration publique ou une entreprise industrielle, cet incident pose plusieurs questions pratiques. D'abord, il illustre que les programmes RaaS ont des structures internes de gouvernance , des règles, des sanctions, des mécanismes disciplinaires. Ces structures influencent directement les comportements des affiliés. Un affilié qui respecte les consignes de son programme va opérer d'une certaine manière. Un affilié banni ou en rupture avec son programme peut agir très différemment.
Ensuite, cet incident rappelle que votre surface d'attaque ne se mesure pas uniquement en termes techniques , serveurs exposés, vulnérabilités non patchées, accès non segmentés. Elle inclut aussi votre positionnement géopolitique et sectoriel dans la hiérarchie des cibles de ces groupes. Les organisations en EMEA hors CEI ne bénéficient d'aucune protection implicite de ce type. Elles restent des cibles entières, légitimes du point de vue de ces acteurs, et doivent être traitées comme telles dans tout exercice sérieux de threat modeling.
La règle CEI appliquée par Nova/RAlord n'est pas une exception. DragonForce, VanHelsing et les opérateurs LockBit imposent exactement la même restriction à leurs affiliés. Ce n'est pas une coïncidence , c'est un signal de marché. Ces groupes cherchent à attirer des affiliés compétents, à maintenir une réputation de fiabilité dans leurs écosystèmes respectifs, et surtout à préserver leur espace opérationnel dans des juridictions qui leur sont favorables. La règle CEI est une condition sine qua non de leur modèle économique.
Ce que cela révèle sur la maturité opérationnelle de ces programmes, c'est que nous avons affaire à des structures organisées qui ressemblent davantage à des franchises criminelles qu'à des collectifs informels de hackers. Elles ont des processus d'onboarding, des règles de conduite, des mécanismes de sanction. Elles ont aussi , et c'est un point souvent sous-estimé , des failles. Des affiliés qui ne lisent pas les consignes. Des acteurs qui rejoignent plusieurs programmes simultanément et confondent les règles. Des individus motivés par l'appât du gain immédiat au détriment de la discipline opérationnelle. L'incident Eriell Group en est l'illustration parfaite.
Au-delà des erreurs stratégiques comme le ciblage d'une organisation CEI, les affiliés RaaS commettent régulièrement des erreurs purement techniques qui ont des conséquences directes sur la capacité des victimes à récupérer leurs données , avec ou sans paiement de rançon. Ces cas documentés devraient figurer dans tout briefing sécurité destiné à des décideurs qui s'interrogent sur l'opportunité de payer une rançon.
CyberVolk avait intégré en dur ses clés maîtresses directement dans ses exécutables. Le résultat : les chercheurs ont pu extraire ces clés et permettre aux victimes de déchiffrer leurs fichiers sans verser un centime. À l'opposé du spectre, le malware Sicarii supprime la clé privée à chaque exécution , ce qui rend toute récupération impossible même si la victime paie intégralement la somme demandée. Nitrogen présente un défaut de programmation similaire dans son module de déchiffrement. Ces trois cas, documentés et vérifiables, illustrent un principe que vous devez faire passer à votre direction : le paiement d'une rançon ne garantit pas la récupération des données. Ce n'est pas une posture négociatoire , c'est une réalité technique confirmée par plusieurs incidents distincts.
Dans le cas d'Eriell Group, Nova affirme ne pas avoir chiffré de fichiers. Si cette affirmation est exacte, la question du paiement ne s'est pas posée. Mais la promesse de non-divulgation des données exfiltrées est une autre affaire, sur laquelle nous reviendrons dans les questions fréquentes. Pour approfondir votre compréhension des signaux techniques qui permettent de détecter une intrusion avant le chiffrement, les indicateurs de compromission restent un outil central dans votre arsenal défensif.
La question se pose immédiatement : l'affilié qui a attaqué Eriell Group est désormais banni du programme Nova. Est-ce une bonne nouvelle pour les organisations en dehors de la CEI ? Pas nécessairement. En fait, potentiellement le contraire.
Un affilié qui opère au sein d'un programme structuré fonctionne sous contraintes. Il a des règles d'engagement explicites, une liste de cibles interdites, des procédures à respecter, et un intérêt financier à maintenir sa place dans l'écosystème. Ces contraintes, aussi perverses qu'elles soient du point de vue de leurs victimes, constituent néanmoins un cadre qui limite certains comportements. Quand cet affilié est exclu, il perd ce cadre. Il peut rejoindre d'autres structures, moins bien organisées, avec des règles moins strictes. Il peut aussi opérer en solitaire, avec une liberté totale de ciblage et potentiellement moins de scrupules sur les organisations qu'il choisit d'attaquer.
Pour les organisations en EMEA hors CEI, la surface d'attaque face à cet acteur déplacé reste entière. Elle n'a pas diminué avec son bannissement , elle a peut-être augmenté. Un affilié qui n'a plus rien à perdre dans un écosystème donné peut se montrer plus agressif, plus opportuniste, moins sélectif dans ses cibles. Il peut aussi être plus enclin à vendre ses accès à d'autres groupes, à opérer dans des secteurs jusque-là hors de sa portée, ou à adopter des tactiques plus destructrices pour compenser la perte de revenus liée à son exclusion. C'est une dynamique que les équipes de threat intelligence doivent surveiller activement, non pas comme une certitude, mais comme un scénario plausible à intégrer dans leurs modèles de risque.
Ce type d'incident confirme également que le suivi des forums cybercriminels et des écosystèmes RaaS n'est pas une activité réservée aux agences de renseignement. Les équipes sécurité des grandes organisations, des banques et des administrations publiques ont un intérêt direct à surveiller ces canaux , directement ou via des fournisseurs spécialisés , pour détecter des signaux avant-coureurs d'une menace émergente de la part d'acteurs récemment déplacés.
Cet incident n'appelle pas à une révision complète de votre stratégie de sécurité. Il appelle à des ajustements précis et à une mise à jour de votre modèle de menace sur plusieurs points spécifiques.
Premier point : vérifiez que vos playbooks de réponse aux incidents incluent un scénario d'attaque par affilié RaaS non contraint , c'est-à-dire un acteur qui ne respecte pas les restrictions habituelles de son programme, ou qui opère hors de tout programme structuré. Les tactiques, techniques et procédures de ces acteurs peuvent différer de celles documentées pour les groupes établis. Vos équipes SOC doivent être en mesure de détecter des comportements atypiques même quand les signatures connues ne correspondent pas.
Deuxième point : la promesse de non-divulgation des données par un groupe ransomware ne constitue pas une garantie opérationnelle. Nova s'est engagé à ne pas publier les données d'Eriell Group. Cet engagement vaut ce que vaut la parole d'un opérateur criminel , c'est-à-dire pas grand-chose en termes juridiques ou contractuels. Si vos systèmes sont compromis, même sans chiffrement, toute donnée exfiltrée doit être considérée comme potentiellement exposée, et les obligations réglementaires de notification doivent être suivies en conséquence, qu'il s'agisse du RGPD, de NIS2 ou d'autres cadres sectoriels applicables à votre organisation.
Troisième point : intégrez la dimension géopolitique dans vos exercices de threat modeling. La règle CEI est un exemple concret de la façon dont les contraintes politiques structurent le comportement des groupes criminels. D'autres règles implicites ou explicites existent au sein de ces écosystèmes , sur les secteurs ciblés, les montants de rançon, les délais de négociation. Comprendre ces règles vous permet de mieux anticiper les comportements déviants quand elles sont enfreintes.
Quatrième point : ne négligez pas la détection précoce. L'incident Eriell Group s'est produit sans chiffrement de fichiers , selon les déclarations de Nova. Cela suggère que l'affilié a pu exfiltrer des données ou prendre position dans le réseau avant d'être détecté ou arrêté. La détection à un stade précoce de l'intrusion , avant que le chiffrement ne soit déclenché , reste l'objectif prioritaire. Investissez dans vos capacités de détection comportementale, dans la surveillance des mouvements latéraux et dans la gestion proactive de vos logs.
Ce type de menace illustre un problème structurel : les informations critiques sur une campagne active circulent d'abord dans des canaux fermés, forums clandestins et groupes Telegram privés, avant d'atteindre les équipes de sécurité par les canaux habituels. Le temps perdu dans cet écart est souvent celui où l'exploitation est la plus active.
Defendis surveille ces sources en continu. Votre équipe reçoit des signaux d'alerte pertinents avant que l'incident ne devienne public, avec le contexte nécessaire pour agir : nature de la menace, infrastructure associée, secteurs ciblés. Sans que vos analystes aient à patrouiller eux-mêmes dans des espaces qu'ils ne devraient pas avoir à fréquenter.
La rapidité de la réaction de Nova s'explique par l'enjeu en cause. Eriell Group est une entreprise dont le siège est en Ouzbékistan et le bureau corporate à Moscou , deux zones géographiques situées précisément dans le périmètre protégé par la règle CEI. Une plainte formelle déposée par Eriell auprès des autorités ouzbèkes ou russes compétentes aurait pu déclencher une enquête susceptible de compromettre l'ensemble du programme RAlord, pas seulement l'affilié fautif. Les excuses publiques, le bannissement immédiat et la proposition d'aide gratuite sont des signaux envoyés aux puissances tutélaires régionales pour montrer que l'incident a été pris en charge et que le contrat implicite de non-ingérence est respecté. C'est de la gestion de risque opérationnel, pas de la contrition.
Non. Il n'existe aucun mécanisme de vérification indépendant permettant de s'assurer qu'un groupe ransomware respecte effectivement sa promesse de ne pas publier des données exfiltrées. Dans le cas d'Eriell Group, Nova affirme ne pas avoir chiffré de fichiers , mais cela ne signifie pas qu'aucune donnée n'a été copiée ou conservée par l'affilié avant son bannissement. Même si Nova respecte son engagement, l'affilié banni lui-même peut disposer de copies qu'il peut utiliser à sa guise, vendre, ou publier. Toute organisation ayant subi une intrusion doit partir du principe que les données auxquelles l'attaquant a eu accès sont compromises, indépendamment de toute promesse formulée par l'opérateur du programme.
Potentiellement, oui. Un affilié exclu d'un programme structuré perd les contraintes internes qui encadraient son comportement. Il peut rejoindre d'autres groupes moins organisés, opérer de façon autonome, ou vendre ses compétences et ses accès existants à d'autres acteurs. Dans tous ces scénarios, les organisations situées hors de la zone CEI , c'est-à-dire la quasi-totalité des cibles en EMEA occidental , restent exposées sans aucune protection liée aux règles d'engagement habituelles de son ancien programme. La menace ne disparaît pas avec le bannissement. Elle change de forme.
Suffisamment pour que la question mérite d'être posée systématiquement lors de tout incident. Plusieurs cas documentés confirment des défauts sérieux : CyberVolk avait codé ses clés maîtresses directement dans ses exécutables, ce qui a permis aux chercheurs d'aider les victimes à déchiffrer leurs fichiers gratuitement. Sicarii supprime la clé privée à chaque exécution , rendant la récupération impossible même après paiement complet. Nitrogen présente un défaut analogue dans son module de déchiffrement. Ces exemples montrent que la qualité technique des outils ransomware varie considérablement d'un acteur à l'autre, et que payer une rançon n'est pas une garantie de récupération des données. C'est un argument supplémentaire pour investir dans des sauvegardes hors ligne testées régulièrement, indépendamment de tout autre mécanisme de réponse aux incidents.
Cet incident doit être traité comme un cas d'école pour l'analyse des comportements déviants au sein des écosystèmes RaaS. Votre modèle de menace devrait inclure au moins trois scénarios distincts liés à la dynamique des affiliés : l'affilié opérant normalement dans le cadre de son programme, l'affilié en rupture de règles par erreur ou négligence, et l'affilié exclu opérant sans contraintes. Pour chacun de ces scénarios, les tactiques probables, les vecteurs d'entrée préférés et les objectifs finaux peuvent différer significativement. Les groupes dont vous suivez l'activité , RAlord, DragonForce, VanHelsing, LockBit , ont tous des affiliés qui peuvent à tout moment basculer de la première à la troisième catégorie. Votre threat modeling doit en tenir compte, non pas comme une abstraction théorique, mais comme un paramètre opérationnel actif.
