Actualités

Menaces, Ransomwares, DDoS

• mai 13, 2025 13 mai'25

  SAP NetWeaver : une vulnérabilité dont l’exploitation renvoie à la Chine

  Les chercheurs de ForeScout et d’EclecticIQ font le même constat : la récente vulnérabilité CVE-2025-31324 affectant SAP NetWeaver est au moins exploitée par des acteurs malveillants en Chine.  Lire la suite

• mai 12, 2025 12 mai'25

  Renseignement Cyber : attention à l’utilisation de l’IA générative contre les chercheurs

  Les agents conversationnels à base de LLM pourraient bien avoir commencé à faire intrusion dans le renseignement sur les menaces de cybersécurité, avec pour objectif de berner les chercheurs. Nous en avons rencontré un exemple.  Lire la suite

• mai 12, 2025 12 mai'25

  Ransomware : les comptes peu reluisants de LockBit 3.0

  Les données extraites le 29 avril d’une interface d’administration de la franchise mafieuse fournissent un éclairage nouveau sur ses activités. Moins de 9 % des cyberattaques menées sous la bannière de LockBit ont donné lieu à un à paiement de ...  Lire la suite

• mai 09, 2025 09 mai'25

  Cyberhebdo du 9 mai 2025 : encore une semaine douloureuse outre-Manche

  Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier.  Lire la suite

• mai 09, 2025 09 mai'25

  Ransomware : ce que révèle la fuite de données de LockBit 3.0

  Une instance d’interface d’administration pour les affidés de la franchise mafieuse a été attaquée le 29 avril. Les données de sa base SQL en ont été extraites et divulguées. Nos premières analyses.  Lire la suite

• mai 07, 2025 07 mai'25

  Ransomware : un écosystème toujours fortement fragmenté

  Coveware constate que l’écosystème du rançongiciel est actuellement fortement marqué par un nombre important d’indépendants, de nouvelles marques aux motivations parfois floues, et quelques historiques du domaine.  Lire la suite

• mai 07, 2025 07 mai'25

  Ransomware : quand un affidé de Play exploitait une vulnérabilité inédite de Windows

  Un acteur malveillant officiant sous la bannière de la franchise mafieuse Play a exploité une vulnérabilité d’élévation de privilèges de Windows avant qu’elle ne soit rendue publique et corrigée, début avril.  Lire la suite

• mai 06, 2025 06 mai'25

  Cyberattaque : se faire passer pour le support IT pour prendre pied

  Le groupe suivi notamment sous le nom de « Luna Moth » est de retour pour des campagnes d’intrusion initiale à un rythme élevé, via des outils d’administration à distance légitimes.  Lire la suite

• mai 05, 2025 05 mai'25

  Ransomware : que devient RansomHub ?

  La vitrine de la franchise n’est plus accessible depuis un mois. Mais l’interface d’administration des affidés serait encore fonctionnelle. Certains d’entre eux suspectent toutefois un énième « exit-scam » et auraient déjà changé de bannière.  Lire la suite

• mai 02, 2025 02 mai'25

  Cyberhebdo du 2 mai 2025 : une semaine très violente

  Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier.  Lire la suite

• avril 29, 2025 29 avr.'25

  Cyberattaque : Hitachi Vantara met certains serveurs hors ligne

  Depuis le 26 avril, de nombreux services d’Hitachi Vantara sont inaccessibles. Selon le spécialiste du stockage, une attaque de ransomware est à l’origine de cette situation.  Lire la suite

• avril 29, 2025 29 avr.'25

  Ransomware : Akira continue sur sa lancée

  L’enseigne, soupçonnée d’avoir recruté des anciens de Black Basta, continue d’afficher un niveau d’activité particulièrement élevé, que ses nombreuses revendications, seules, ne reflètent pas pleinement.  Lire la suite

• avril 29, 2025 29 avr.'25

  Ransomware : sur la trace de LukaLocker, Nitrogen, et… Cactus

  Les similarités entre les rançongiciels LukaLocker et Nitrogen ont déjà pu être établies. Les experts de Glimps viennent de les rapprocher tous deux d’un troisième : Cactus. Dont ils semblent descendre en droite ligne.  Lire la suite

• avril 25, 2025 25 avr.'25

  Cyberhebdo du 25 avril 2025 : le plus gros opérateur mobile africain dans la tourmente

  Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier.  Lire la suite

• avril 25, 2025 25 avr.'25

  Baccarat : la cyberattaque, côté pile et côté face

  Les échanges internes au groupe Black Basta divulgués en février dernier apportent un éclairage tout particulier sur leurs activités, et cela encore plus pour l’attaque conduite contre Baccarat, qui a partagé publiquement son expérience.  Lire la suite

• avril 24, 2025 24 avr.'25

  ClickFix : une pratique prisée des cybercriminels, mais pas uniquement

  Cette technique de compromission initiale est notamment utilisée par des acteurs liés à l’enseigne de ransomware Interlock. Mais d’autres, œuvrant pour le compte d’États-nations, y ont également recours.  Lire la suite

• avril 23, 2025 23 avr.'25

  Versa Networks confronté à une cyberattaque

  Le spécialiste du SASE reconnaît un incident de cybersécurité impliquant un environnement hors production « utilisé pour un ensemble limité de tests d’assurance qualité ». La jeune enseigne de cyber-extorsion Silent apparaît impliquée.  Lire la suite

• avril 23, 2025 23 avr.'25

  Cyber-extorsion : Silent essaie de rançonner sans chiffrer

  Connue publiquement depuis ce 23 avril 2025, cette nouvelle enseigne n’a, pour l’heure, revendiqué qu’une seule victime. Sa spécificité : elle ne chiffre pas les données de ses victimes, quitte à ce que certaines peinent à croire à la réalité de l’...  Lire la suite

• avril 18, 2025 18 avr.'25

  Cyberhebdo du 18 avril 2025 : semaine difficile en Belgique et en Suisse

  Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier.  Lire la suite

• avril 17, 2025 17 avr.'25

  Italie : une proposition de loi obligerait à déclarer les cyberattaques sous 6 heures

  Cette proposition de loi vise en outre à limiter le droit des victimes de rançongiciel à céder aux exigences de leurs assaillants, ainsi qu’à renforcer les moyens des services enquêteurs.  Lire la suite

• avril 11, 2025 11 avr.'25

  Cyberhebdo du 11 avril 2025 : attaque contre l’un des plus grands gestionnaires d’actifs en Inde

  Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier.  Lire la suite

• avril 10, 2025 10 avr.'25

  Ransomware : le mois de mars clôture un trimestre record

  Le mois de mars 2025 s’est inscrit dans la continuité des deux précédents, marquant un début d’année d’une violence inégalée sur le front des rançongiciels, jusqu’en France. Et rien ne présage d’une rapide accalmie.  Lire la suite

• avril 10, 2025 10 avr.'25

  Harvest : la cyberattaque est revendiquée sous l’enseigne Run Some Wares

  La cyberattaque conduite que la FinTech française vient d’être revendiquée sous la bannière de la récente enseigne Run Some Wares, identifiée depuis la fin du mois de février, mais vraisemblablement active depuis au moins juin 2024.  Lire la suite

• avril 09, 2025 09 avr.'25

  Cyberattaques : début de la saison 2 de l’opération Endgame

  Dévoilée il y a près d’un an, cette opération judiciaire internationale frappait aux prémisses des cyberattaques. Elle a permis d’aller un cran plus loin, en remontant aux clients des botnets en mode service touchés dans le cadre de cette opération.  Lire la suite

• avril 09, 2025 09 avr.'25

  Ransomware : Frag s’attaque aussi bien à Windows qu’à Linux et ESXi

  Active depuis au moins octobre 2024, cette enseigne dont la vitrine a été découverte fin mars, dispose d’un rançongiciel pour Windows et de variants pour Linux et ESXi. Tous trois supportent, de manière optionnelle, le chiffrement partiel des ...  Lire la suite

• avril 08, 2025 08 avr.'25

  Ransomware : Qilin se renforce avec au moins deux nouveaux affidés

  L’enseigne vient d’enchaîner les nouvelles revendications à un rythme inhabituellement soutenu. Pour plusieurs d’entre elles, la divulgation des données volées a été immédiate. Mais l’attaque apparaît bien antérieure.  Lire la suite

• avril 07, 2025 07 avr.'25

  Ransomware : DragonForce tend la main à RansomHub

  L’enseigne DragonForce se dit prête à accueillir RansomHub. Une approche qui pourrait séduire les déçus de LockBit partis justement chez RansomHub l’an dernier. La partie visible de l’infrastructure de ce dernier est actuellement indisponible.  Lire la suite

• avril 07, 2025 07 avr.'25

  Ransomware : quand deux revendications ne sont pas synonymes de deux attaquants

  Une cyberattaque revendiquée sur deux vitrines de franchises différentes ? La conséquence d’un accès initial vendu à deux acteurs différents ? C’est plus vraisemblablement l’œuvre d’un attaquant travaillant sous deux bannières.  Lire la suite

• avril 04, 2025 04 avr.'25

  Cyberhebdo du 4 avril 2025 : une semaine étonnamment calme

  Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier.  Lire la suite

• avril 02, 2025 02 avr.'25

  Ransomware : le début de la fin pour Hunters International ?

  Group-IB estime que l’enseigne Hunters International est sur le point de mettre la clé sous la porte, migrant vers l’extorsion simple basée sur le seul vol de données, sous une nouvelle marque.  Lire la suite

• avril 01, 2025 01 avr.'25

  Ransomware : bienvenue dans l’ère des vraies-fausses cyberattaques

  Les acteurs malveillants prétendant avoir conduit des cyberattaques se multiplient, formulant des revendications fantaisistes ou cherchant à extorquer des organisations en recyclant des données volées préalablement par d’autres.  Lire la suite

• mars 28, 2025 28 mars'25

  Cyber-extorsion : deux membres de Hellcat démasqués

  Les experts de Kela ont remonté la piste de Rey et Pryx, les deux principaux opérateurs de la jeune enseigne Hellcat grâce au renseignement en sources ouvertes et… des identifiants dérobés par des infostealers.  Lire la suite

• mars 28, 2025 28 mars'25

  Cyberhebdo du 28 mars 2025 : l’aéroport international de Kuala Lumpur dans la tourmente

  Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier.  Lire la suite

• mars 27, 2025 27 mars'25

  Outre-Manche, une amende de 3,6 millions d’euros infligée à une victime de LockBit

  Le gendarme de la protection des données personnelles britannique a condamné l’éditeur Advanced à une amende de 3 millions de livres sterling pour manquement à ses obligations de sécurité. Il a été victime de ransomware en août 2022.  Lire la suite

• mars 27, 2025 27 mars'25

  Microsoft pousse Security Copilot dans l’ère agentique

  Lors du Microsoft AI Tour Paris, le fournisseur a présenté les évolutions de Security Copilot. Il entend mettre l’IA générative et les agents au service de la cybersécurité. Ce faisant, le géant du cloud respecte davantage des promesses réalisées au...  Lire la suite

• mars 26, 2025 26 mars'25

  Ransomware : VanHelsing, un nouveau venu aux grandes ambitions

  Cette enseigne de rançongiciel en mode service a pour l’instant revendiqué quatre victimes seulement, dont une en France. Elle revendique de quoi chiffrer les systèmes Windows, Linux/ESXi, BSD, et même ARM.  Lire la suite

• mars 25, 2025 25 mars'25

  Aviation civile : une cyberattaque affecte l’aéroport international de Kuala Lumpur

  Les activités de l’aéroport ont été sensiblement ralenties. Une rançon de 10 millions de dollars a été demandée, mais l’hypothèse d’un paiement a été rejetée. Cette situation rare n’est toutefois pas une première.  Lire la suite

• mars 24, 2025 24 mars'25

  Ransomware : l’activité de Cactus apparaît exploser

  L’enseigne, active depuis au moins le printemps 2023, connaît récemment une forte accélération de ses opérations. Son compte de revendications a progressé de 25 % depuis le début de l’année.  Lire la suite

• mars 24, 2025 24 mars'25

  Ransomware : l’université de Maastricht récupère près de 3 fois ce qu’elle avait payé

  L’université avait été frappée fin 2019 avec le ransomware Cl0p et avait décidé de verser près de 200 000 € pour accélérer la restauration initiale de ses systèmes. Sa transparence a payé : elle vient de récupérer près du triple.  Lire la suite

• mars 21, 2025 21 mars'25

  Cyberhebdo du 21 mars 2025 : encore une semaine très intense

  Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier.  Lire la suite

• mars 20, 2025 20 mars'25

  Ransomware : encore un mois d’une rare violence

  Le mois de février s’est inscrit dans la continuité de janvier, confortant l’impression d’un début d’année 2025 d’une violence inédite sur le front des cyberattaques avec rançongiciel, même si cela apparaît moins vrai pour la France.  Lire la suite

• mars 18, 2025 18 mars'25

  GenAI : comment un chercheur de Cato a poussé un LLM à lui écrire un infostealer

  Un chercheur de Cato Networks a embarqué des IA génératives dans une fiction, dans laquelle elles devaient aider le héros à déjouer les plans du méchant en dérobant ses identifiants confiés à son navigateur Web.  Lire la suite

• mars 17, 2025 17 mars'25

  Ransomware : les amours toujours contrariées des cybertruands avec le Bitcoin

  Cette cryptomonnaie reste très prisée pour le paiement des rançons. Mais au-delà, certains ont déjà opéré un virage vers le Monero, dont le suivi des flux financiers s’avère moins aisé.  Lire la suite

• mars 14, 2025 14 mars'25

  Cyberhebdo du 14 mars 2025 : la santé encore prise pour cible

  Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier.  Lire la suite

• mars 12, 2025 12 mars'25

  Anssi : des cyberattaques qui en feraient oublier les défauts de sécurisation

  Le bilan annuel de l’Agence nationale de sécurité des systèmes d’information fait ressortir, sur son périmètre, une menace stable par rapport à 2023. Mais aussi des faiblesses techniques persistantes.  Lire la suite

• mars 12, 2025 12 mars'25

  Un groupe malveillant chinois s’invite depuis au moins mi-2024 dans les routeurs Juniper

  Les équipes Mandiant de Google documentent les intrusions d’un groupe de cyber-espions chinois dans les routeurs Junos OS de Juniper. Ce n’est pas la première fois qu’ils s’invitent sur des équipements de bordure.  Lire la suite

• mars 11, 2025 11 mars'25

  DDoS contre X : les affirmations d’Elon Musk tournées en dérision

  Elon Musk s’est attiré de sévères critiques après avoir pointé des adresses IP en Ukraine comme origine d’une importante attaque DDoS contre son réseau social X (ex-Twitter).  Lire la suite

• mars 10, 2025 10 mars'25

  Contourner l’EDR ? Miser sur des objets connectés non supervisés

  Seul, l’EDR ne suffit pas toujours. La détection des menaces dans le réseau constitue un complément qu’il peut être tentant de négliger. Cas pratique avec un ransomware signé Akira et… une caméra connectée.  Lire la suite

• mars 10, 2025 10 mars'25

  Enseignement supérieur : FunkSec s’attaque à des comptes d’accès distant isolés

  L’enseigne FunkSec vient de revendiquer une cyberattaque contre Sorbonne Université et l’université de Rennes. Les deux incidents semblent d’ampleur modeste et se limiter à la compromission de comptes permettant un accès distant en interface Web à ...  Lire la suite

• mars 07, 2025 07 mars'25

  Cyberhebdo du 7 mars 2025 : une semaine exceptionnellement violente

  Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier.  Lire la suite