Actualités

Menaces, Ransomwares, DDoS

• mars 07, 2025 07 mars'25

  Black Basta : le début de la fin du gang semble remonter à l’été 2024

  L’analyse des échanges internes à ce gang de ransomwares fait ressortir ses habitudes de congés. Avec une anomalie remarquable : après ceux de juillet 2024, plusieurs affidés ne sont pas revenus dans les rangs.  Lire la suite

• mars 06, 2025 06 mars'25

  VMware : des vulnérabilités activement exploitées, dont une pour ESXi

  Le 4 mars, Broadcom a alerté de vulnérabilités affectant certaines versions de ses produits de virtualisation, pour postes de travail et serveurs. Celle qui concerne ESXi apparaît particulièrement préoccupante.  Lire la suite

• mars 06, 2025 06 mars'25

  Cyberattaques : la transparence des collectivités territoriales progresse

  L’an dernier, l’Agence nationale de sécurité des systèmes d’information (Anssi) a eu connaissance de 25 cyberattaques avec rançongiciel contre des collectivités territoriales. Au moins 20 sont connues publiquement.  Lire la suite

• mars 05, 2025 05 mars'25

  De Black Basta à Cactus, les traces techniques de transfuges

  Alors que le gang Black Basta semble imploser, des traces techniques soigneusement étudiées confortent la suspicion de transfuge de certains de ses membres vers l’enseigne Cactus.  Lire la suite

• mars 04, 2025 04 mars'25

  Ransomware : quelles vulnérabilités sont exploitées, et quand ?

  Les cybercriminels exploitent des vulnérabilités critiques pour conduire certaines de leurs attaques. Mais quand ? Avant que les correctifs ne soient disponibles ? Plus tôt encore ? Le cas Black Basta fournit un nouvel éclairage.  Lire la suite

• mars 03, 2025 03 mars'25

  Ransomware : comment un affidé de Qilin exfiltre les données de ses victimes

  Il s’appuie sur proxychains4 pour encapsuler son trafic réseau et cacher la destination finale des données volées avant de déclencher le chiffrement. L’exfiltration elle-même s’appuie sur smbclient.  Lire la suite

• mars 01, 2025 01 mars'25

  Ransomware : de REvil à Black Basta, que sait-on de Tramp ?

  Ce membre clé du gang de rançongiciels Black Basta est recherché par la justice américaine. Il a échappé de peu à l’extradition vers les États-Unis fin juin 2024. Avec l’aide de contacts très haut placés à Moscou, selon lui.  Lire la suite

• février 28, 2025 28 févr.'25

  Cyberhebdo du 28 février 2025 : deux communes françaises touchées

  Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier.  Lire la suite

• février 26, 2025 26 févr.'25

  Orange confirme une brèche de données chez sa filiale roumaine

  Un vol de données tirées d’une base de données de la filiale roumaine d’Orange a été revendiquée par l’un des membres de l’enseigne HellCat. L’opérateur a confirmé l’incident.  Lire la suite

• février 26, 2025 26 févr.'25

  Infostealers et brèches : le retour de la menace des combolists

  Le service Have I Been Pwned vient de traiter et d’ingérer un très impressionnant volume de données d’authentification compromises. Mais celles-ci s’avèrent loin d’être inédites, sinon authentiques.  Lire la suite

• février 25, 2025 25 févr.'25

  Ransomware : les revendications nébuleuses de Fog

  L’enseigne de rançongiciel Fog a récemment publié une importante série de revendications relatives à des instances GitLab. Parmi les organisations concernées, l’Adullact dément tout piratage. Et probablement à juste titre.  Lire la suite

• février 24, 2025 24 févr.'25

  Ransomware : sur la piste trouble de l’un des leaders de Black Basta

  Les échanges internes au groupe Black Basta divulgués la semaine dernière offrent une nouvelle opportunité d’enquêter sur l’un de ses leaders : tramp. Il pourrait avoir été arrêté en Arménie en juin 2024, avant d’être relâché.  Lire la suite

• février 24, 2025 24 févr.'25

  Black Basta : l’outillage développé pour analyser la fuite

  LeMagIT a été parmi les premiers à disposer de la fuite d’échanges internes au groupe Black Basta survenue le 20 février. Pour procéder à l’analyse de ces éléments, nous avons commencé à développer quelques outils en interne.  Lire la suite

• février 21, 2025 21 févr.'25

  Cyberhebdo du 21 février 2025 : encore une semaine intense

  Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier.  Lire la suite

• février 21, 2025 21 févr.'25

  Ransomware : comme Conti avant lui, Black Basta sur la voie de l’implosion

  Descendant de feu Conti, le groupe Black Basta semble parti pour suivre la même voie : celle de l’implosion. Un tiers non identifié vient de rendre public plus d’un an d’échanges privés du groupe. Le croisement avec des victimes connues en confirme ...  Lire la suite

• février 20, 2025 20 févr.'25

  Akira : l’explosion silencieuse (et à retardement)

  L’enseigne de ransomware est particulièrement loquace depuis le début du mois de novembre 2024, multipliant les revendications de victimes, voire les divulgations de données sans revendication préalable. Mais certains faits remontent à 2023.  Lire la suite

• février 17, 2025 17 févr.'25

  Cybercriminalité : sanctions et saisie d’infrastructure

  Les forces de l’ordre néerlandaises viennent de saisir 127 serveurs utilisés par l’hébergeur ZServers/Xhost, dit « bulletproof », à la suite de plus d’un an d’enquête. Juste après l’annonce de sanctions internationales à son encontre.  Lire la suite

• février 14, 2025 14 févr.'25

  Cyberhebdo du 14 février 2025 : l’Allemagne en première ligne

  Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier.  Lire la suite

• février 14, 2025 14 févr.'25

  Ransomware : Leonardo réfute les allégations de ThreeAM

  Dans une déclaration publiée sur le réseau social X, le groupe industriel italien dément avoir été victime d’un rançongiciel. Il réagit à la revendication d’une telle cyberattaque revendiquée quelques heures plus tôt sur le site vitrine de l’...  Lire la suite

• février 13, 2025 13 févr.'25

  De la cyber-extorsion à la cyberguerre : quand les lignes se brouillent

  Entre cybercriminels et hacktivistes qui se rangent ouvertement aux côtés d’un État et acteurs malveillants étatiques qui se fournissent auprès d’eux, des voix s’élèvent pour que les cybermenaces soient traitées comme des menaces à la sécurité ...  Lire la suite

• février 12, 2025 12 févr.'25

  Ransomware : que sait-on de Termite, qui a attaqué le département de la Réunion ?

  Découverte mi-novembre 2024, l’enseigne de rançongiciel Termite pourrait être active depuis le printemps. Elle revendique déjà trois victimes françaises et apparaît utiliser Babuk.  Lire la suite

• février 10, 2025 10 févr.'25

  Ransomware : un début d’année d’une rare violence

  Le mois de janvier a été marqué par un nombre de revendications de cyberattaques particulièrement élevé, que ce soit par rapport à décembre 2024 ou aux mois de janvier des années précédentes. Et cela vaut pour la France.  Lire la suite

• février 10, 2025 10 févr.'25

  Ransomware : fin de parcours pour 8base

  Le site vitrine de l’enseigne de rançongiciel a été saisi dans le cadre d’une opération judiciaire internationale. Le fruit vraisemblable de l’arrestation du développeur de son ransomware, Phobos, début novembre 2024.  Lire la suite

• février 07, 2025 07 févr.'25

  Cyberhebdo du 7 février 2025 : deux entreprises cotées de Taïwan parmi les victimes

  Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier.  Lire la suite

• février 06, 2025 06 févr.'25

  GenAI : comment des acteurs avancés persistants la détournent

  Des acteurs malveillants dits avancés et persistants, soutenus par des États-Nation, détournent l’IA générative. Les équipes de Google l’ont en particulier identifié pour le LLM maison, Gemini.  Lire la suite

• février 05, 2025 05 févr.'25

  Chainalysis : baisse de 35 % des paiements de rançons en 2024

  Alors que le premier semestre 2024 était en passe de dépasser les chiffres record de 2023, Chainalysis a constaté que le volume des paiements de rançons a chuté au cours du second semestre de l’année.  Lire la suite

• février 03, 2025 03 févr.'25

  LockBit : à quoi s’attendre avec la version 4.0 de son ransomware ?

  En décembre 2024, l’opérateur de la franchise de rançongiciel LockBit a lancé la quatrième version de son maliciel de chiffrement. Depuis, les premiers échantillons ont été collectés et analysés.  Lire la suite

• janvier 31, 2025 31 janv.'25

  L’éditeur de solutions métiers AAA DATA victime d’une cyberattaque

  Dans un communiqué de presse, l’éditeur fait état d’une « détection » survenue le 28 janvier au matin. Certains de ses services numériques sont indisponibles, ce qui affecte l’activité de ses clients.  Lire la suite

• janvier 31, 2025 31 janv.'25

  Cyberhebdo du 31 janvier 2025 : une semaine particulièrement intense

  Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier.  Lire la suite

• janvier 31, 2025 31 janv.'25

  Vulnérabilités critiques : une année 2024 fortement contrastée

  Plusieurs vulnérabilités critiques ont été exploitées dans le cadre de cyberattaques en 2024. Mais contrairement au sentiment que cela pourrait donner, l’année écoulée s’est avérée relativement calme sur ce front.  Lire la suite

• janvier 29, 2025 29 janv.'25

  Rançongiciels : pas d’accalmie perceptible pour le secteur de santé en 2024

  Le secteur de la santé ne semble pas avoir pleinement profité du recul observé de la menace, en France, l’an passé. Le nombre de compromissions et d’attaques avec ransomware apparaît stable par rapport à 2023.  Lire la suite

• janvier 28, 2025 28 janv.'25

  Baromètre annuel du Cesin : là aussi, la menace des rançongiciels apparaît reculer

  Le baromètre annuel du club conforte à son tour les observations de recul de la menace des ransomwares, en France, en 2024. Mais il rappelle la forte progression de celle des dénis de service.  Lire la suite

• janvier 27, 2025 27 janv.'25

  Ransomware : le vrai-faux retour de Babuk

  Une nouvelle vitrine se revendique de cette enseigne de début 2021. Mais si son créateur original est en liberté, c’est sous caution. Et l’éventail des victimes épinglées suggère l’œuvre d’un affidé également passé par les enseignes LockBit, ...  Lire la suite

• janvier 24, 2025 24 janv.'25

  Vol de données CB : comment détecter les skimmers

  Ces implants malveillants empoisonnent discrètement des sites Web légitimes pour dérober les données de carte bancaire de leurs clients. Des règles permettent désormais d’en faciliter la détection.  Lire la suite

• janvier 24, 2025 24 janv.'25

  Cyberhebdo du 24 janvier 2025 : une ESN suisse victime de RansomHub

  Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier.  Lire la suite

• janvier 22, 2025 22 janv.'25

  Les dirigeants français effrayés par les cyberattaques dopées à l’IA

  L’IA se pose comme outil indispensable dans la détection des menaces et l’assistance aux analystes SOC. C’est aussi un outil mis à profit par les attaquants pour créer de nouvelles attaques et accroître leur rapidité d’exécution. Une menace qui ...  Lire la suite

• janvier 20, 2025 20 janv.'25

  2024 : une année phare pour la lutte contre la cybercriminalité

  Le niveau d’activité des cybercriminels praticiens du rançongiciel reste élevé. Suffisamment peut-être pour faire oublier les avancées de la lutte mondiale contre ces activités malveillantes. Et cela même alors que 2024 aura été marquée par de ...  Lire la suite

• janvier 17, 2025 17 janv.'25

  Cyberhebdo du 17 janvier 2025 : l’université technique d’Eindhoven interrompt une attaque

  Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier.  Lire la suite

• janvier 16, 2025 16 janv.'25

  Fortinet : configurations et identifiants de 15 000 systèmes FortiGate publiés

  Un acteur malveillant a publié les détails de configuration et de comptes utilisateurs de 15 000 systèmes FortiGate de Fortinet. Ces données semblent avoir été acquises via l’exploitation d’une vulnérabilité de 2022.  Lire la suite

• janvier 15, 2025 15 janv.'25

  Ransomware : le Royaume-Uni réfléchit à l'extension de l'interdiction du paiement de rançon

  L’interdiction du paiement de rançon par les administrations centrales britanniques pourrait être étendue à des organisations telles que les administrations locales, les écoles et le secteur public de la santé.  Lire la suite

• janvier 15, 2025 15 janv.'25

  Ransomware : 2024, l’année de l’accalmie pour la France ?

  Les chiffres croisés des incidents rapportés dans la presse, des demandes d’assistance à cybermalveillance.gouv.fr et de dossiers ouverts par le parquet de Paris pour cyberattaque de rançongiciel font ressortir une baisse sensible.  Lire la suite

• janvier 14, 2025 14 janv.'25

  Fortinet : une nouvelle vulnérabilité critique exploitée

  Dans la foulée de l’équipementier, l’Agence nationale de la sécurité des systèmes d’information alerte de l’exploitation d’une vulnérabilité critique permettant l’exécution de code arbitraire à distance et l’élévation de privilèges.  Lire la suite

• janvier 13, 2025 13 janv.'25

  Ransomware : 2024 s’achève sur un léger recul d’une menace qui reste prononcée

  Le mois de décembre a été marqué par un recul sensible du nombre de victimes de cyberattaques revendiquées comme rapportées, bien plus qu’habituellement. Mais impossible de parler de répit pour autant.  Lire la suite

• janvier 10, 2025 10 janv.'25

  Cyberhebdo du 10 janvier 2025 : comme un air de rentrée

  Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier.  Lire la suite

• janvier 09, 2025 09 janv.'25

  Ivanti Connect Secure : une faille inédite activement exploitée

  Bien qu’Ivanti n’ait constaté l’exploitation de CVE-2025-0282 que dans les instances Ivanti Connect Secure, les passerelles Ivanti Policy Secure et ZTA sont également vulnérables à la faille.  Lire la suite

• janvier 08, 2025 08 janv.'25

  Black Basta : après l’étrange trêve estivale de 2024, vers un éclatement ?

  L’enseigne mafieuse Black Basta serait-elle sur le point de connaître le même sort que Conti, dont elle est née de l’éclatement ? Son activité observable confirme une longue trêve estivale suivie d’un rebond potentiellement limité.  Lire la suite

• janvier 07, 2025 07 janv.'25

  17Cyber : un guichet unique pour les victimes d’infractions numériques

  L’année écoulée s’est notamment achevée sur l’annonce de l’ouverture du 17Cyber, équivalent numérique de l’appel au 17, destiné aux victimes d’infractions numériques, y compris aux entreprises.  Lire la suite

• janvier 06, 2025 06 janv.'25

  Extensions Chrome : une campagne plus vaste que ce qui était estimé initialement

  La compromission découverte par Cyberhaven fin décembre 2024 apparaît désormais concerner un éventail d’extensions Chrome bien plus large qu’estimé initialement. Surtout, elle pourrait faire partie d’une campagne vaste et longtemps ignorée.  Lire la suite

• janvier 03, 2025 03 janv.'25

  Cyberhebdo du 3 janvier 2025 : un début d’année apparemment calme

  Chaque semaine, dans le Cyberhebdo, nous vous présentons une liste aussi exhaustive que possible des cyberattaques évoquées par la presse dans le monde entier.  Lire la suite

• janvier 03, 2025 03 janv.'25

  Ransomware : Atos réfute les allégations d’attaque de Space Bears

  Le 28 décembre dernier, l’enseigne Space Bears revendiquait une cyberattaque contre Atos. Dans un communiqué, ce dernier fait était d’une compromission de « l’infrastructure externe d’une tierce partie ».  Lire la suite