Rapport D'incident

Selon bitdefender.com (19.08.2025), l’Openbaar Ministerie (OM) des Pays-Bas a subi une faille de sécurité qui a conduit à la mise hors ligne de ses systèmes, entraînant des impacts inattendus sur l’application du code de la route. — Contexte et intrusion présumée — • Les autorités nationales (NCSC) et le régulateur de la protection des données ont été informés d’une possible fuite. Un mémo interne mettait en garde contre la reconnexion à Internet tant que les intrus n’étaient pas évincés. • Les hackers sont soupçonnés d’avoir exploité des vulnérabilités dans des appareils Citrix pour obtenir un accès non autorisé. ...

Selon 404 Media, le site web de Grok (xAI) exposait publiquement les prompts internes de nombreuses personas (compagnon, comédien « unhinged », ami loyal, aide aux devoirs, « doc », « thérapeute », et des compagnons animés comme Ani et Bad Rudy), permettant de consulter leur configuration détaillée et leur ton. Les documents exposés incluent des instructions explicites, notamment pour un persona complotiste (« ELEVATED and WILD voice », références à 4chan/Infowars, incitation à tenir des propos extrêmes et à maintenir l’engagement), un comédien “unhinged” avec un langage volontairement vulgaire et provocateur, un persona “docteur” présenté comme « génie » donnant « les meilleurs conseils médicaux », et un persona “thérapeute” encourageant l’introspection (le terme ‘therapist’ étant entre guillemets). Pour Ani (anime girl), le profil décrit des traits de caractère, un système de points de romance, et des récompenses pour la créativité et la gentillesse. Bad Rudy est décrit comme un panda roux au ton caricatural et changeant. ...

Selon un billet de l’équipe HvS IR, un incident de ransomware mené par le groupe INC Ransom a tiré parti d’une vulnérabilité FortiGate de janvier 2025 (FG-IR-24-535), dans un contexte d’attaques typiques, de vulnérabilités connues et de mauvaises configurations. Faits saillants: Les assaillants ont délibérément détruit des données. Ils ont fourni de fausses informations lors des négociations 💬. L’environnement a été entièrement chiffré en 48 heures après l’accès initial 🔐. Vecteur et conditions d’exploitation: ...

Selon Numerama, le Muséum national d’Histoire naturelle (MNHN) de Paris fait face depuis fin juillet 2025 à une cyberattaque « massive » paralysant une partie de ses réseaux et outils de recherche. Révélé le 31 juillet par La Tribune, l’incident n’était toujours pas résolu au 12 août, selon le président Gilles Bloch, qui ne peut pas encore fixer de calendrier de retour à la normale. L’impact est majeur pour la communauté scientifique : des bases de données essentielles, utilisées par les chercheurs du Muséum et du centre PATRINAT, sont inaccessibles, perturbant fortement la recherche en sciences naturelles et biodiversité. 🧬 ...

Le prestataire Francelink a publie sur sa page de status (status.francelink.net) un rapport d’incident détaillant la cyberattaque subie le 28 juillet 2025 à 20h30. 🔐 Détails de l’attaque Le rapport attribue l’attaque au groupe AKIRA. Deux actions coordonnées ont été menées : chiffrement des données sur les serveurs de production et chiffrement des serveurs de sauvegarde. Les éléments disponibles indiquent une probable extraction de données conforme au mode opératoire du groupe. Environ 93 % des serveurs ont été affectés, impactant la quasi-totalité des services et des clients. ...

BleepingComputer rapporte que le géant des RH Workday a divulgué une fuite de données liée à un fournisseur CRM tiers (Salesforce?), à la suite d’une attaque de social engineering. — L’essentiel Type d’attaque : social engineering Vecteur : accès non autorisé à une plateforme CRM tierce Impact : divulgation d’une fuite de données Organisation concernée : Workday (secteur RH) — Détails connus Selon l’annonce, des attaquants ont obtenu un accès au CRM d’un tiers utilisé par Workday, ce qui a conduit l’entreprise à déclarer une violation de données. L’incident est attribué à une manipulation sociale récente. ...

Huntress — Le fournisseur a publié un rapport décrivant un incident impliquant le ransomware KawaLocker (KAWA4096), une variante apparue en juin 2025, dont l’attaque a été détectée et contenue avant un impact organisationnel étendu. Le scénario débute par une compromission RDP via un compte compromis. Les attaquants déploient des utilitaires pour désactiver les outils de sécurité (notamment kill.exe et HRSword) et chargent des drivers noyau (sysdiag.sys et hrwfpdr.sys de Beijing Huorong Network Technology). Une énumération réseau est menée avec advancedportscanner.exe, suivie de tentatives de mouvement latéral via PsExec. ...

Source: Huntress — Contexte: billet de blog décrivant un incident récent où le ransomware KawaLocker (KAWA4096) a été déployé dans un environnement client, avec chronologie, outils utilisés et «breadcrumbs» de détection. Huntress a observé début août un accès initial via RDP à l’aide d’un compte compromis (08/08). Le threat actor a déployé kill.exe et l’outil HRSword (Huorong) pour surveiller le système et identifier/neutraliser des outils de sécurité (usage de tasklist.exe | find). Des services Windows associés à ces solutions ont ensuite crashé. Deux drivers noyau signés Huorong — sysdiag.sys et hrwfpdr.sys — ont été installés puis supprimés via sc.exe (sc start/stop/delete), confirmant l’usage d’outils liés à Beijing Huorong Network Technology. ...

Selon The Record, le gang de ransomware Interlock revendique une cyberattaque qui a perturbé les opérations du gouvernement de la ville de St. Paul, Minnesota. 🚨 Acteur: Interlock (groupe de ransomware) 🎯 Cible: Gouvernement municipal de St. Paul (Minnesota, USA) ⚠️ Impact annoncé: Perturbation des opérations 🗣️ Source: Article de presse spécialisé de The Record rapportant la revendication du groupe Une attaque par ransomware a ciblé l’administration municipale de St. Paul (Minnesota), selon le groupe Interlock, mis en garde le mois précédent par le FBI. Ce gang affirme avoir volé 43 Go de données, sans communiquer de demande de rançon ni de délai de paiement. Les autorités locales n’ont pas commenté, mais le maire Melvin Carter précise que les données des employés municipaux sont au cœur des préoccupations, tandis que les données des résidents, hébergées dans une application cloud, n’ont pas été touchées. ...

Selon BleepingComputer, un acteur malveillant non identifié a pénétré le réseau de l’Université Columbia en mai et a exfiltré des informations sensibles. Type d’incident: intrusion réseau suivie d’une fuite de données. 🏫🔓 Données compromises: informations personnelles, financières et de santé. 📄💳🩺 Ampleur: près de 870 000 étudiants et employés, actuels et anciens, potentiellement touchés. L’article précise que l’accès non autorisé a eu lieu en mai, qu’un acteur inconnu est à l’origine de l’attaque, et que le volume de données exposées est significatif pour la communauté universitaire concernée. ...