Actualités
Menaces, Ransomwares, DDoS
-
avril 25, 2025
25
avr.'25
Cyberhebdo du 25 avril 2025 : le plus gros opérateur mobile africain dans la tourmente
Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier. Lire la suite
-
avril 25, 2025
25
avr.'25
Baccarat : la cyberattaque, côté pile et côté face
Les échanges internes au groupe Black Basta divulgués en février dernier apportent un éclairage tout particulier sur leurs activités, et cela encore plus pour l’attaque conduite contre Baccarat, qui a partagé publiquement son expérience. Lire la suite
-
avril 24, 2025
24
avr.'25
ClickFix : une pratique prisée des cybercriminels, mais pas uniquement
Cette technique de compromission initiale est notamment utilisée par des acteurs liés à l’enseigne de ransomware Interlock. Mais d’autres, œuvrant pour le compte d’États-nations, y ont également recours. Lire la suite
-
avril 23, 2025
23
avr.'25
Versa Networks confronté à une cyberattaque
Le spécialiste du SASE reconnaît un incident de cybersécurité impliquant un environnement hors production « utilisé pour un ensemble limité de tests d’assurance qualité ». La jeune enseigne de cyber-extorsion Silent apparaît impliquée. Lire la suite
-
avril 23, 2025
23
avr.'25
Cyber-extorsion : Silent essaie de rançonner sans chiffrer
Connue publiquement depuis ce 23 avril 2025, cette nouvelle enseigne n’a, pour l’heure, revendiqué qu’une seule victime. Sa spécificité : elle ne chiffre pas les données de ses victimes, quitte à ce que certaines peinent à croire à la réalité de l’... Lire la suite
-
avril 18, 2025
18
avr.'25
Cyberhebdo du 18 avril 2025 : semaine difficile en Belgique et en Suisse
Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier. Lire la suite
-
avril 17, 2025
17
avr.'25
Italie : une proposition de loi obligerait à déclarer les cyberattaques sous 6 heures
Cette proposition de loi vise en outre à limiter le droit des victimes de rançongiciel à céder aux exigences de leurs assaillants, ainsi qu’à renforcer les moyens des services enquêteurs. Lire la suite
-
avril 11, 2025
11
avr.'25
Cyberhebdo du 11 avril 2025 : attaque contre l’un des plus grands gestionnaires d’actifs en Inde
Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier. Lire la suite
-
avril 10, 2025
10
avr.'25
Ransomware : le mois de mars clôture un trimestre record
Le mois de mars 2025 s’est inscrit dans la continuité des deux précédents, marquant un début d’année d’une violence inégalée sur le front des rançongiciels, jusqu’en France. Et rien ne présage d’une rapide accalmie. Lire la suite
-
avril 10, 2025
10
avr.'25
Harvest : la cyberattaque est revendiquée sous l’enseigne Run Some Wares
La cyberattaque conduite que la FinTech française vient d’être revendiquée sous la bannière de la récente enseigne Run Some Wares, identifiée depuis la fin du mois de février, mais vraisemblablement active depuis au moins juin 2024. Lire la suite
-
avril 09, 2025
09
avr.'25
Cyberattaques : début de la saison 2 de l’opération Endgame
Dévoilée il y a près d’un an, cette opération judiciaire internationale frappait aux prémisses des cyberattaques. Elle a permis d’aller un cran plus loin, en remontant aux clients des botnets en mode service touchés dans le cadre de cette opération. Lire la suite
-
avril 09, 2025
09
avr.'25
Ransomware : Frag s’attaque aussi bien à Windows qu’à Linux et ESXi
Active depuis au moins octobre 2024, cette enseigne dont la vitrine a été découverte fin mars, dispose d’un rançongiciel pour Windows et de variants pour Linux et ESXi. Tous trois supportent, de manière optionnelle, le chiffrement partiel des ... Lire la suite
-
avril 08, 2025
08
avr.'25
Ransomware : Qilin se renforce avec au moins deux nouveaux affidés
L’enseigne vient d’enchaîner les nouvelles revendications à un rythme inhabituellement soutenu. Pour plusieurs d’entre elles, la divulgation des données volées a été immédiate. Mais l’attaque apparaît bien antérieure. Lire la suite
-
avril 07, 2025
07
avr.'25
Ransomware : DragonForce tend la main à RansomHub
L’enseigne DragonForce se dit prête à accueillir RansomHub. Une approche qui pourrait séduire les déçus de LockBit partis justement chez RansomHub l’an dernier. La partie visible de l’infrastructure de ce dernier est actuellement indisponible. Lire la suite
-
avril 07, 2025
07
avr.'25
Ransomware : quand deux revendications ne sont pas synonymes de deux attaquants
Une cyberattaque revendiquée sur deux vitrines de franchises différentes ? La conséquence d’un accès initial vendu à deux acteurs différents ? C’est plus vraisemblablement l’œuvre d’un attaquant travaillant sous deux bannières. Lire la suite
-
avril 04, 2025
04
avr.'25
Cyberhebdo du 4 avril 2025 : une semaine étonnamment calme
Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier. Lire la suite
-
avril 02, 2025
02
avr.'25
Ransomware : le début de la fin pour Hunters International ?
Group-IB estime que l’enseigne Hunters International est sur le point de mettre la clé sous la porte, migrant vers l’extorsion simple basée sur le seul vol de données, sous une nouvelle marque. Lire la suite
-
avril 01, 2025
01
avr.'25
Ransomware : bienvenue dans l’ère des vraies-fausses cyberattaques
Les acteurs malveillants prétendant avoir conduit des cyberattaques se multiplient, formulant des revendications fantaisistes ou cherchant à extorquer des organisations en recyclant des données volées préalablement par d’autres. Lire la suite
-
mars 28, 2025
28
mars'25
Cyber-extorsion : deux membres de Hellcat démasqués
Les experts de Kela ont remonté la piste de Rey et Pryx, les deux principaux opérateurs de la jeune enseigne Hellcat grâce au renseignement en sources ouvertes et… des identifiants dérobés par des infostealers. Lire la suite
-
mars 28, 2025
28
mars'25
Cyberhebdo du 28 mars 2025 : l’aéroport international de Kuala Lumpur dans la tourmente
Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier. Lire la suite
-
mars 27, 2025
27
mars'25
Outre-Manche, une amende de 3,6 millions d’euros infligée à une victime de LockBit
Le gendarme de la protection des données personnelles britannique a condamné l’éditeur Advanced à une amende de 3 millions de livres sterling pour manquement à ses obligations de sécurité. Il a été victime de ransomware en août 2022. Lire la suite
-
mars 27, 2025
27
mars'25
Microsoft pousse Security Copilot dans l’ère agentique
Lors du Microsoft AI Tour Paris, le fournisseur a présenté les évolutions de Security Copilot. Il entend mettre l’IA générative et les agents au service de la cybersécurité. Ce faisant, le géant du cloud respecte davantage des promesses réalisées au... Lire la suite
-
mars 26, 2025
26
mars'25
Ransomware : VanHelsing, un nouveau venu aux grandes ambitions
Cette enseigne de rançongiciel en mode service a pour l’instant revendiqué quatre victimes seulement, dont une en France. Elle revendique de quoi chiffrer les systèmes Windows, Linux/ESXi, BSD, et même ARM. Lire la suite
-
mars 25, 2025
25
mars'25
Aviation civile : une cyberattaque affecte l’aéroport international de Kuala Lumpur
Les activités de l’aéroport ont été sensiblement ralenties. Une rançon de 10 millions de dollars a été demandée, mais l’hypothèse d’un paiement a été rejetée. Cette situation rare n’est toutefois pas une première. Lire la suite
-
mars 24, 2025
24
mars'25
Ransomware : l’activité de Cactus apparaît exploser
L’enseigne, active depuis au moins le printemps 2023, connaît récemment une forte accélération de ses opérations. Son compte de revendications a progressé de 25 % depuis le début de l’année. Lire la suite
-
mars 24, 2025
24
mars'25
Ransomware : l’université de Maastricht récupère près de 3 fois ce qu’elle avait payé
L’université avait été frappée fin 2019 avec le ransomware Cl0p et avait décidé de verser près de 200 000 € pour accélérer la restauration initiale de ses systèmes. Sa transparence a payé : elle vient de récupérer près du triple. Lire la suite
-
mars 21, 2025
21
mars'25
Cyberhebdo du 21 mars 2025 : encore une semaine très intense
Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier. Lire la suite
-
mars 20, 2025
20
mars'25
Ransomware : encore un mois d’une rare violence
Le mois de février s’est inscrit dans la continuité de janvier, confortant l’impression d’un début d’année 2025 d’une violence inédite sur le front des cyberattaques avec rançongiciel, même si cela apparaît moins vrai pour la France. Lire la suite
-
mars 18, 2025
18
mars'25
GenAI : comment un chercheur de Cato a poussé un LLM à lui écrire un infostealer
Un chercheur de Cato Networks a embarqué des IA génératives dans une fiction, dans laquelle elles devaient aider le héros à déjouer les plans du méchant en dérobant ses identifiants confiés à son navigateur Web. Lire la suite
-
mars 17, 2025
17
mars'25
Ransomware : les amours toujours contrariées des cybertruands avec le Bitcoin
Cette cryptomonnaie reste très prisée pour le paiement des rançons. Mais au-delà, certains ont déjà opéré un virage vers le Monero, dont le suivi des flux financiers s’avère moins aisé. Lire la suite
-
mars 14, 2025
14
mars'25
Cyberhebdo du 14 mars 2025 : la santé encore prise pour cible
Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier. Lire la suite
-
mars 12, 2025
12
mars'25
Anssi : des cyberattaques qui en feraient oublier les défauts de sécurisation
Le bilan annuel de l’Agence nationale de sécurité des systèmes d’information fait ressortir, sur son périmètre, une menace stable par rapport à 2023. Mais aussi des faiblesses techniques persistantes. Lire la suite
-
mars 12, 2025
12
mars'25
Un groupe malveillant chinois s’invite depuis au moins mi-2024 dans les routeurs Juniper
Les équipes Mandiant de Google documentent les intrusions d’un groupe de cyber-espions chinois dans les routeurs Junos OS de Juniper. Ce n’est pas la première fois qu’ils s’invitent sur des équipements de bordure. Lire la suite
-
mars 11, 2025
11
mars'25
DDoS contre X : les affirmations d’Elon Musk tournées en dérision
Elon Musk s’est attiré de sévères critiques après avoir pointé des adresses IP en Ukraine comme origine d’une importante attaque DDoS contre son réseau social X (ex-Twitter). Lire la suite
-
mars 10, 2025
10
mars'25
Contourner l’EDR ? Miser sur des objets connectés non supervisés
Seul, l’EDR ne suffit pas toujours. La détection des menaces dans le réseau constitue un complément qu’il peut être tentant de négliger. Cas pratique avec un ransomware signé Akira et… une caméra connectée. Lire la suite
-
mars 10, 2025
10
mars'25
Enseignement supérieur : FunkSec s’attaque à des comptes d’accès distant isolés
L’enseigne FunkSec vient de revendiquer une cyberattaque contre Sorbonne Université et l’université de Rennes. Les deux incidents semblent d’ampleur modeste et se limiter à la compromission de comptes permettant un accès distant en interface Web à ... Lire la suite
-
mars 07, 2025
07
mars'25
Cyberhebdo du 7 mars 2025 : une semaine exceptionnellement violente
Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier. Lire la suite
-
mars 07, 2025
07
mars'25
Black Basta : le début de la fin du gang semble remonter à l’été 2024
L’analyse des échanges internes à ce gang de ransomwares fait ressortir ses habitudes de congés. Avec une anomalie remarquable : après ceux de juillet 2024, plusieurs affidés ne sont pas revenus dans les rangs. Lire la suite
-
mars 06, 2025
06
mars'25
VMware : des vulnérabilités activement exploitées, dont une pour ESXi
Le 4 mars, Broadcom a alerté de vulnérabilités affectant certaines versions de ses produits de virtualisation, pour postes de travail et serveurs. Celle qui concerne ESXi apparaît particulièrement préoccupante. Lire la suite
-
mars 06, 2025
06
mars'25
Cyberattaques : la transparence des collectivités territoriales progresse
L’an dernier, l’Agence nationale de sécurité des systèmes d’information (Anssi) a eu connaissance de 25 cyberattaques avec rançongiciel contre des collectivités territoriales. Au moins 20 sont connues publiquement. Lire la suite
-
mars 05, 2025
05
mars'25
De Black Basta à Cactus, les traces techniques de transfuges
Alors que le gang Black Basta semble imploser, des traces techniques soigneusement étudiées confortent la suspicion de transfuge de certains de ses membres vers l’enseigne Cactus. Lire la suite
-
mars 04, 2025
04
mars'25
Ransomware : quelles vulnérabilités sont exploitées, et quand ?
Les cybercriminels exploitent des vulnérabilités critiques pour conduire certaines de leurs attaques. Mais quand ? Avant que les correctifs ne soient disponibles ? Plus tôt encore ? Le cas Black Basta fournit un nouvel éclairage. Lire la suite
-
mars 03, 2025
03
mars'25
Ransomware : comment un affidé de Qilin exfiltre les données de ses victimes
Il s’appuie sur proxychains4 pour encapsuler son trafic réseau et cacher la destination finale des données volées avant de déclencher le chiffrement. L’exfiltration elle-même s’appuie sur smbclient. Lire la suite
-
mars 01, 2025
01
mars'25
Ransomware : de REvil à Black Basta, que sait-on de Tramp ?
Ce membre clé du gang de rançongiciels Black Basta est recherché par la justice américaine. Il a échappé de peu à l’extradition vers les États-Unis fin juin 2024. Avec l’aide de contacts très haut placés à Moscou, selon lui. Lire la suite
-
février 28, 2025
28
févr.'25
Cyberhebdo du 28 février 2025 : deux communes françaises touchées
Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier. Lire la suite
-
février 26, 2025
26
févr.'25
Orange confirme une brèche de données chez sa filiale roumaine
Un vol de données tirées d’une base de données de la filiale roumaine d’Orange a été revendiquée par l’un des membres de l’enseigne HellCat. L’opérateur a confirmé l’incident. Lire la suite
-
février 26, 2025
26
févr.'25
Infostealers et brèches : le retour de la menace des combolists
Le service Have I Been Pwned vient de traiter et d’ingérer un très impressionnant volume de données d’authentification compromises. Mais celles-ci s’avèrent loin d’être inédites, sinon authentiques. Lire la suite
-
février 25, 2025
25
févr.'25
Ransomware : les revendications nébuleuses de Fog
L’enseigne de rançongiciel Fog a récemment publié une importante série de revendications relatives à des instances GitLab. Parmi les organisations concernées, l’Adullact dément tout piratage. Et probablement à juste titre. Lire la suite
-
février 24, 2025
24
févr.'25
Ransomware : sur la piste trouble de l’un des leaders de Black Basta
Les échanges internes au groupe Black Basta divulgués la semaine dernière offrent une nouvelle opportunité d’enquêter sur l’un de ses leaders : tramp. Il pourrait avoir été arrêté en Arménie en juin 2024, avant d’être relâché. Lire la suite
-
février 24, 2025
24
févr.'25
Black Basta : l’outillage développé pour analyser la fuite
LeMagIT a été parmi les premiers à disposer de la fuite d’échanges internes au groupe Black Basta survenue le 20 février. Pour procéder à l’analyse de ces éléments, nous avons commencé à développer quelques outils en interne. Lire la suite