Rapport D'incident

Le 5 mai 2025, Global Crossing Airlines Group Inc. a détecté une activité non autorisée dans ses réseaux informatiques, ce qui a été identifié comme un incident de cybersécurité. Dès la découverte de cet événement, la société a activé ses protocoles de réponse aux incidents et a fait appel à des experts en cybersécurité tiers pour aider à la confinement et à la mitigation de l’incident. La société a pris des mesures immédiates pour contenir et isoler les serveurs affectés afin d’empêcher toute intrusion supplémentaire. En parallèle, Global Crossing Airlines a informé les forces de l’ordre et collabore pleinement avec elles pour investiguer sur la nature et l’étendue de l’incident. ...

Une vulnérabilité critique a été découverte dans l’instance PHPMyAdmin de Lockbit, exploitée par un acteur inconnu. Lockbit, un groupe notoire pour ses attaques de ransomware, utilisait une version de PHP vulnérable (8.1.2) identifiée par le CVE-2024-4577, permettant une exécution de code à distance (RCE). L’attaque a permis à l’acteur de dumper la base de données de Lockbit. Ces données incluaient des adresses bitcoin, des informations sur leur système de build, et des messages de négociation. Un point particulièrement critique est la découverte de noms d’utilisateur et mots de passe des agents de Lockbit, stockés sans chiffrement. ...

L’article publié par BleepingComputer rapporte une fuite de données concernant le groupe de ransomware LockBit. Ce groupe a été victime d’une attaque sur ses panneaux affiliés présents sur le dark web. Les panneaux ont été défigurés et remplacés par un message contenant un lien vers un dump de base de données MySQL. Cette attaque révèle des informations potentiellement sensibles concernant les opérations et les affiliés du groupe. LockBit est connu pour ses attaques de ransomware qui ciblent diverses organisations à travers le monde. Cette fuite pourrait avoir des implications importantes pour le groupe et ses affiliés, en exposant des données internes cruciales. ...

L’Office for Civil Rights (OCR) a révélé que Comprehensive Neurology n’avait pas effectué une analyse de risque adéquate pour évaluer les menaces potentielles à la confidentialité, l’intégrité et la disponibilité des informations de santé protégées électroniquement (ePHI). Cette lacune a été mise en lumière après un rapport de violation en décembre 2020, indiquant que le réseau informatique de Comprehensive Neurology avait été chiffré et rendu inaccessible en raison d’une attaque par ransomware. ...

Le 27 avril 2025, Masimo Corporation a détecté une activité non autorisée sur son réseau interne. Cette découverte a conduit l’entreprise à activer ses protocoles de réponse aux incidents et à mettre en œuvre des mesures de confinement, notamment l’isolement proactif des systèmes affectés. L’entreprise a immédiatement lancé une enquête pour évaluer, atténuer et remédier à l’incident avec l’aide de professionnels tiers en cybersécurité. Masimo Corporation a également informé et coopère avec les forces de l’ordre pour gérer la situation. ...

L’article de Recorded Future News rapporte une violation de données chez iHeartMedia, un grand conglomérat médiatique, survenue en décembre. Cette violation a entraîné l’exposition de numéros de sécurité sociale, d’informations financières et d’autres détails personnels. iHeartMedia a déposé des avis de violation dans plusieurs États mais n’a pas précisé le nombre de personnes touchées ni le nombre de stations concernées par cette attaque. Un porte-parole de l’entreprise a déclaré que l’incident impliquait une activité inhabituelle sur certains systèmes de leurs stations locales. ...

La Cybersecurity & Infrastructure Security Agency (CISA) des États-Unis a émis une alerte concernant une vulnérabilité critique dans Langflow, un outil dont la nature n’est pas précisée dans l’extrait mais qui est suffisamment répandu pour justifier une alerte nationale. Cette vulnérabilité permet une exécution de code à distance, ce qui signifie qu’un attaquant pourrait potentiellement prendre le contrôle d’un système affecté sans autorisation préalable. La CISA a identifié cette faille comme étant activement exploitée, ce qui augmente considérablement le risque pour les organisations qui utilisent Langflow. En réponse, la CISA exhorte toutes les organisations concernées à appliquer immédiatement les mises à jour de sécurité et les mesures d’atténuation recommandées pour protéger leurs systèmes. ...

L’actualité rapportée par Sansec met en lumière une attaque de la chaîne d’approvisionnement qui a compromis plusieurs vendeurs de logiciels e-commerce. Sansec a découvert que 21 applications contenaient une même porte dérobée, injectée il y a six ans mais activée récemment, permettant aux attaquants de prendre le contrôle de serveurs e-commerce. Cette attaque affecte entre 500 et 1000 boutiques utilisant des logiciels compromis. Les entreprises touchées incluent des géants du commerce électronique, dont une multinationale de 40 milliards de dollars. Les logiciels affectés proviennent de Tigren, Meetanshi et MGS, avec des packages publiés entre 2019 et 2022. Les serveurs de ces vendeurs ont été compromis, permettant l’injection de portes dérobées dans leurs logiciels de téléchargement. ...

Le système scolaire du comté de Coweta a été victime d’une cyberattaque sur son réseau informatique, comme rapporté par un média local. L’intrusion a eu lieu un vendredi soir et est actuellement sous enquête par le système scolaire et plusieurs partenaires de sécurité. Les autorités telles que la Georgia Emergency Management Authority et Homeland Security ont été informées de l’incident. En raison de cette attaque, certaines opérations réseau du système scolaire seront perturbées dans les jours à venir. ...

L’article publié par HipaaJournal relate une importante fuite de données chez Verisource Services, un prestataire de services d’administration des avantages sociaux basé à Houston, Texas. Le 28 février 2024, la société a détecté un incident de piratage qui a perturbé l’accès à certains de ses systèmes. Une enquête menée par des experts en cybersécurité tiers a confirmé que des pirates avaient accédé au réseau et exfiltré des fichiers dès le 27 février 2024. Les informations volées comprenaient des noms, dates de naissance, sexes et numéros de sécurité sociale. ...