L’annonce est directe. Le groupe Nova revendique 23 victimes, détaille l’offre RaaS et publie des extraits de données, dont une fuite de 80 Go attribuée à l’Université de Pau et du Pays de l’Adour (29 septembre).
Le collectif criminel baptisé Nova publie un nouveau blog et met à jour ses « liens » en recommandant l’usage du protocole HTTPS. Le message détaille des offres commerciales : prix d’accès au RaaS jusqu’à 800$ (736 €) et une offre « lifetime » à 2 000$ (1 840 €). Nova revendique 23 victimes, parmi lesquelles l’Université de Pau et du Pays de l’Adour, une entité privée de Valence, la Rama Judicial de Colombie, la faculté des sciences de Zagreb et la commune de Pise. Le groupe impose des délais de 15 jours pour le paiement, autorise la re-diffusion des données en exigeant le crédit « Nova » et affiche des pseudonymes d’affiliés. Notre angle cyber et renseignement interroge la commercialisation industrielle des fuites et les risques de contagion pour les administrations.
La Ville de Pise, en Italie, connue pour son tourisme et sa tour éponyme. – Image : veillezataz.com
Le changement d’infrastructure et la mise en marché du RaaS
Nous aurions pu penser que les nombreuses arrestations de ces derniéres semaines auraient calmé les appétits des pirates informatiques, adeptes du ransomware, de la prise d’otage d’entreprise à coup de ransongiciel et de demande rançon. Il est fort de constater que pas du tout. Je vous en parlais d’ailleurs au mois d’août 2025. Le message de Nova affirme une migration de domaines et la mise en ligne d’un « nouveau blog ». Le groupe recommande explicitement « Use HTTPS to access the sites with more encryption traffic », une injonction paradoxale qui sert autant à rassurer les affiliés qu’à compliquer la traque technique. Nova annonce des tarifs et des paliers commerciaux : « the Price of RaaS up to 800$ » (736 € au moment de l’écriture de cette enquête) et une offre commerciale plus avancée « we Provide Ransomware as a service with $2k lifetime with advanced features and anti detection » (1 840 € pour utiliser à vie leur service malveillant).
Ces annonces traduisent une professionalisation du modèle économique. Le collectif met en avant des fonctionnalités anti-détection et un argumentaire destiné aux « affiliates », indiquant que l’outil n’est plus seulement un logiciel de rançonnage mais un produit de marché, packagé pour des acteurs externes. Le groupe laisse aussi 15 jours aux victimes pour payer, ce qui structure la pression temporelle et optimise les chances de monétisation.
Nova a dû, dernièrement, changer son infrastructure. – Image : veillezataz.com
⚠️ Êtes-vous une proie facile ?⚠️ ️
Confidentiel • Instantané • Sécurisé • 100 % Made in France
Le format « affiliés traçables » et la stratégie d’exhibition
Nova publie des identifiants d’affiliés sous forme de pseudonymes : Nova2J, Nova2E, NovaHG, NovaVM, etc. Ces alias jouent un rôle double. Ils servent à répartir la responsabilité opérationnelle et à créer une marque reconnue par les acheteurs de données et les re-leakers. Le discours du groupe légitime la re-diffusion : « Data Re-Leak. we are allow any one to Re-leak data in forums or anywere, but kindly put the source is « Nova ». Autoriser la redistribution élargit l’audience des fuites et augmente le potentiel commercial des datasets compromis. L’exhibition publique des victimes, accompagnée d’un « readme » proposant « decryptor » et options de « return and delete Data », instaure un marché où la preuve d’attaque devient un levier de négociation. Ce mécanisme transforme les fuites en catalogue commercial et détourne la logique traditionnelle de la rançon unique vers une économie de la revente et de la licence d’atteinte.
Données revendues par les pirates. – Image : veillezataz.com
Cas exemple : Université de Pau et du Pays de l’Adour
Parmi les 23 victimes, Nova revendique un lot de 80 Go pour l’Université de Pau et du Pays de l’Adour, précisant la nature des fichiers : « Docs, reports, billing PDFs, Plans, Factory and payments Documents, Workers full infos, Complete student and Teachers data (Private IDs) ». Le collectif malveillant propose depuis son infiltration, fin septembre « decryptor + report + return and delete Data ». La publication d’une volumétrie et d’un inventaire aussi précis répond à deux objectifs : prouver la compromission et appâter de potentiels acheteurs ou affiliés. La mention de « Private IDs » signale un risque élevé de compromission de données personnelles sensibles, ce qui exauce des conséquences réglementaires et opérationnelles pour l’établissement. Les pirates indiquent la date de compromission la plus récente pour le lot universitaire, le 29 septembre, ancrant la chronologie des événements. Mais attention, il peut aussi s’agir d’un bluff puant. Souvenez-vous des propos tenus par un pirate informatique que j’avais croisé, en 2016. Pour rappel il m’avait expliqué que le RGPD était de l’or en barre pour lui. « Les entreprises me paient ? tant mieux. Elles ne me paient pas ? Le RGPD de mai 2018 et les instances judiciaires se chargeront de les faire payer via des amendes« . J’avais appelé cela, à l’époque « Le double effet RGPD » ! Le pirate Maze, en 2019, mettait en action cette « idée » !
Le collectif revendique des cibles diverses et internationales : un établissement privé de Valence, la Rama Judicial de Colombie, la faculté des sciences de Zagreb, la commune de Pise en Italie. Cette diversité souligne la capacité du groupe à cibler des structures publiques et privées, dans des secteurs sensibles comme la justice ou l’administration locale. La mention explicite d’organisations judiciaires et universitaires met en lumière l’attractivité des cibles pour des achats de données, d’autant que ces structures hébergent des documents administratifs, des identifiants privés et des fichiers financiers. La présence d’acteurs étatiques ou paraétatiques parmi les victimes pose une question de renseignement : qui achète ces données ? À quelles finalités sont-elles employées ? Le modèle RaaS facilite l’accès à ces ressources pour des acteurs tiers et pas nécessairement pour revendre les données. Un espionnage pour « pas » cher !
L’outil pirate est loué 800$ par Nova. – Image : veillezataz.com
Rejoignez ZATAZ sur les réseaux :
Aucun spam – Désinscription en un clic – Vie privée respectée
Implications cyber et renseignement
Le message de Nova illustre l’économisation de la cybercriminalité. L’offre commerciale, les paliers tarifaires, la garantie d’outils anti-détection, l’autorisation de re-diffusion et l’affichage d’affiliés structurent un écosystème marchand. Pour les services de renseignement et les équipes de sécurité, ces éléments constituent des indicateurs de tactiques, techniques et procédures : standardisation des offres, usage de blogs dédiés comme vitrines, recours au chiffrement des communications pour réduire la traçabilité, mécanismes temporels de pression (15 jours) et stratégie de preuve pour encourager le paiement ou la revente. Le signalement public de victimes et la mise à disposition de déchiffreurs moyennant conditions constituent des outils de gouvernance criminelle interne, destinés à réguler les transactions et les comportements des affiliés. Ce n’est pas nouveau, des groupes comme RexMundi ou Maze exploitaient déjà ce marketing de la malveillance voilà une décennie pour certains.
Des données qui peuvent servir à d’autres actions, physiques pourquoi pas. Comparons avec le cas du Musée d’histoire naturelle de Paris obligé d’annuler ses rendez-vous organisés pour le grand public comme la trés attendue exposition Tropicale. Fait étonnant, qui n’a peut-être aucun rapport avec l’acte de piratage mais, quelques semaines plus tard, des cambrioleurs dérobaient 5 kilos d’or au musée !
Le mode opératoire décrit par Nova fournit des signaux utiles pour la réponse. La création de nouveaux domaines et de blogs dédiés peut être surveillée par des équipes de threat intelligence pour détecter l’apparition de marqueurs identitaires. L’usage revendiqué d’HTTPS pour la consultation des liens de fuite est un indice de réduction de la surface observée pour les enquêteurs réseau. Les pseudonymes d’affiliés peuvent alimenter des corrélations entre incidents lorsqu’ils réapparaissent. Enfin la structure commerciale et les messages de « readme » sont des artefacts que les CERT et les enquêteurs judiciaires peuvent collecter comme preuves et pistes d’investigation. C’est déjà ça de positif pour espérer voir ces malveillants stopper le plus rapidement possible.
