Une nouvelle variante du ransomware BlackCat, baptisée 4.0 par Mandiant, cible spécifiquement les hyperviseurs ESXi et Proxmox des entreprises européennes. Contrairement aux versions précédentes, cette mouture chiffre les machines virtuelles directement au niveau de l'hyperviseur, rendant inopérantes les solutions de sauvegarde traditionnelles basées sur les snapshots.
Au moins 40 entreprises européennes ont été touchées en quatre semaines, principalement dans le secteur de la santé. Trois CHU français figurent parmi les victimes confirmées, dont l'un a vu l'intégralité de son système d'information immobilisé pendant 11 jours.
Mandiant attribue la campagne au groupe ALPHV opérant depuis l'Europe de l'Est, déjà responsable des grandes vagues d'attaques contre les infrastructures de santé en 2024 et 2025. L'ANSSI a publié un bulletin d'alerte recommandant le durcissement immédiat des consoles ESXi et Proxmox, notamment via la désactivation de SLP et la segmentation réseau des consoles d'administration.