Rapport D'incident

Dans un récent incident de réponse, l’équipe de Digital Forensics and Incident Response (DFIR) a découvert que le ransomware SafePay avait été déployé sur les machines des victimes. La première activité confirmée de ce ransomware remonte à septembre 2024, et depuis, le groupe responsable a intensifié ses activités, ajoutant de plus en plus de victimes à son site de fuite de données (DLS). Les cibles de ce groupe incluent à la fois le secteur public et privé à travers le monde, avec des victimes notables aux États-Unis et au Royaume-Uni. Dans le cas étudié par Proven Data, les fichiers chiffrés portaient l’extension .safepay, et la note de rançon était nommée readme_safepay.txt. ...

L’université Nottingham Trent, comme rapporté par Nottinghamshire Live, a été victime d’une cyberattaque le matin du vendredi 11 juillet. Dans un message adressé à sa communauté, l’université a annoncé que les mots de passe de tous les comptes du personnel et des étudiants ont été réinitialisés par mesure de précaution. Un porte-parole de l’université a précisé que l’incident était limité à un petit nombre de serveurs, permettant ainsi à l’établissement de continuer ses opérations normalement. ...

Selon un article publié par The Record, une attaque majeure a eu lieu contre l’échange décentralisé GMX, entraînant le vol de 42 millions de dollars en crypto-monnaies. Cependant, dans un retournement de situation, l’auteur du vol a décidé de restituer l’intégralité des fonds volés. L’incident a été résolu par le biais d’une négociation entre GMX et le pirate, qui a accepté de rendre les fonds en échange d’une prime de 5 millions de dollars. Cette approche, bien que controversée, a permis à GMX de récupérer les actifs perdus sans recourir à des procédures judiciaires longues et coûteuses. ...

LA newsletter FromCyberia rapporte qu’un réseau de centres de service, géré par des bénévoles, a décidé de suspendre les mises à jour de firmware personnalisées pour les drones DJI après avoir subi une cyberattaque. Ce réseau, dirigé par le groupe Russian Hackers for the Front (RH), est connu pour ses efforts de modification de firmware afin de militariser les drones commerciaux DJI. L’attaque a compromis les serveurs et les terminaux utilisés par RH, obligeant le groupe à demander à des centaines de centres de service d’arrêter l’utilisation de ses terminaux jusqu’à nouvel ordre. Cette décision a pour effet de suspendre une large opération de militarisation des drones commerciaux. ...

Selon un article du Washington Post, un individu non identifié a usurpé l’identité du Secrétaire d’État américain Marco Rubio en utilisant des logiciels alimentés par l’intelligence artificielle pour imiter sa voix et son style d’écriture. Cette campagne d’usurpation d’identité a ciblé au moins cinq responsables gouvernementaux, dont trois ministres des affaires étrangères, un gouverneur américain et un membre du Congrès. L’objectif présumé de ces tentatives d’usurpation était de manipuler des officiels puissants pour obtenir des informations ou accéder à des comptes sensibles. L’imposteur a utilisé des messages vocaux et textuels via l’application de messagerie chiffrée Signal, ainsi que des courriels pour contacter ses cibles. ...

Selon un article publié par The Record, la police brésilienne a procédé à l’arrestation d’un employé de C&M Software. Cet individu est accusé d’avoir vendu ses identifiants de connexion aux hackers responsables d’une attaque massive contre le système de paiement instantané PIX. L’employé aurait admis sa participation en vendant ses accès, facilitant ainsi le vol par les cybercriminels. Le système PIX, largement utilisé au Brésil pour les transactions rapides, a été la cible de cette attaque, mettant en lumière des failles potentielles dans la sécurité des accès internes aux systèmes critiques. ...

Selon un article de BleepingComputer, Ingram Micro, un géant de l’informatique, est confronté à une panne mondiale impactant ses sites web et systèmes internes. Les clients s’inquiètent d’une possible cyberattaque en raison du silence de l’entreprise sur les causes de ces problèmes. La panne a des répercussions sur les opérations globales de l’entreprise, et les clients expriment leur frustration et leurs préoccupations sur les réseaux sociaux, spéculant sur une attaque potentielle. ...

Selon therecord.media, l’organisation humanitaire allemande Welthungerhilfe (WHH) a été la cible d’une attaque par ransomware menée par un groupe utilisant le modèle Ransomware-as-a-Service (RaaS). Les cybercriminels demandent une rançon de 20 bitcoins, soit environ 2,1 millions de dollars. Le groupe de ransomware, déjà impliqué dans des attaques contre des hôpitaux et d’autres organisations, a listé WHH sur son site de fuites du darknet. Bien que les systèmes de WHH aient été immédiatement fermés et que des experts en cybersécurité aient été appelés, il n’est pas clair si les réseaux de l’organisation ont été chiffrés. ...

Le CERT-FR a publié un rapport sur une campagne d’attaque observée par l’ANSSI en septembre 2024, ciblant des entités françaises à travers l’exploitation de vulnérabilités zero-day sur les appareils Ivanti Cloud Service Appliance (CSA). La campagne d’attaque, nommée Houken, a impacté des secteurs tels que le gouvernement, les télécommunications, les médias, la finance et le transport. Les attaquants ont utilisé des vulnérabilités zero-day (CVE-2024-8190, CVE-2024-8963, et CVE-2024-9380) pour exécuter du code arbitraire à distance sur les appareils vulnérables, avant la publication des avis de sécurité d’Ivanti. ...

Le 5 juin 2025, Surmodics, Inc. a découvert qu’un acteur malveillant avait accédé sans autorisation à certains de ses systèmes d’information, rendant certains systèmes et données indisponibles. La société a immédiatement pris des mesures de confinement, notamment en mettant certains systèmes IT hors ligne de manière proactive, et a mis en œuvre son plan de réponse aux incidents de sécurité. L’incident a été signalé aux forces de l’ordre. Depuis la découverte de cet incident de cybersécurité, Surmodics collabore avec des experts IT tiers pour contenir, évaluer et remédier à l’incident. Les systèmes IT critiques de l’entreprise ont été restaurés et les données IT sont en cours de validation. Les autres systèmes et données IT sont en cours de restauration et de validation conformément à un plan de récupération. ...