INC Ransom exploite une faille FortiGate (FG-IR-24-535) et dĂ©truit des donnĂ©es lors d’un incident

Selon un billet de l’équipe HvS IR, un incident de ransomware menĂ© par le groupe INC Ransom a tirĂ© parti d’une vulnĂ©rabilitĂ© FortiGate de janvier 2025 (FG-IR-24-535), dans un contexte d’attaques typiques, de vulnĂ©rabilitĂ©s connues et de mauvaises configurations. Faits saillants: Les assaillants ont dĂ©libĂ©rĂ©ment dĂ©truit des donnĂ©es. Ils ont fourni de fausses informations lors des nĂ©gociations 💬. L’environnement a Ă©tĂ© entiĂšrement chiffrĂ© en 48 heures aprĂšs l’accĂšs initial 🔐. Vecteur et conditions d’exploitation: ...

19 aoĂ»t 2025 Â· 2 min

Le MusĂ©um national d’Histoire naturelle victime d’une cyberattaque, la piste du ransomware envisagĂ©e

Selon Numerama, le MusĂ©um national d’Histoire naturelle (MNHN) de Paris fait face depuis fin juillet 2025 Ă  une cyberattaque « massive » paralysant une partie de ses rĂ©seaux et outils de recherche. RĂ©vĂ©lĂ© le 31 juillet par La Tribune, l’incident n’était toujours pas rĂ©solu au 12 aoĂ»t, selon le prĂ©sident Gilles Bloch, qui ne peut pas encore fixer de calendrier de retour Ă  la normale. L’impact est majeur pour la communautĂ© scientifique : des bases de donnĂ©es essentielles, utilisĂ©es par les chercheurs du MusĂ©um et du centre PATRINAT, sont inaccessibles, perturbant fortement la recherche en sciences naturelles et biodiversitĂ©. 🧬 ...

18 aoĂ»t 2025 Â· 2 min

Rapport d’incident status.francelink.net : AKIRA chiffre 93 % des serveurs et les sauvegardes

Le prestataire Francelink a publie sur sa page de status (status.francelink.net) un rapport d’incident dĂ©taillant la cyberattaque subie le 28 juillet 2025 Ă  20h30. 🔐 DĂ©tails de l’attaque Le rapport attribue l’attaque au groupe AKIRA. Deux actions coordonnĂ©es ont Ă©tĂ© menĂ©es : chiffrement des donnĂ©es sur les serveurs de production et chiffrement des serveurs de sauvegarde. Les Ă©lĂ©ments disponibles indiquent une probable extraction de donnĂ©es conforme au mode opĂ©ratoire du groupe. Environ 93 % des serveurs ont Ă©tĂ© affectĂ©s, impactant la quasi-totalitĂ© des services et des clients. ...

18 aoĂ»t 2025 Â· 2 min

Workday annonce une fuite de données via un CRM (spoiler: Salesforce) tiers aprÚs une attaque de social engineering

BleepingComputer rapporte que le gĂ©ant des RH Workday a divulguĂ© une fuite de donnĂ©es liĂ©e Ă  un fournisseur CRM tiers (Salesforce?), Ă  la suite d’une attaque de social engineering. — L’essentiel Type d’attaque : social engineering Vecteur : accĂšs non autorisĂ© Ă  une plateforme CRM tierce Impact : divulgation d’une fuite de donnĂ©es Organisation concernĂ©e : Workday (secteur RH) — DĂ©tails connus Selon l’annonce, des attaquants ont obtenu un accĂšs au CRM d’un tiers utilisĂ© par Workday, ce qui a conduit l’entreprise Ă  dĂ©clarer une violation de donnĂ©es. L’incident est attribuĂ© Ă  une manipulation sociale rĂ©cente. ...

18 aoĂ»t 2025 Â· 1 min

Huntress documente un incident KawaLocker (KAWA4096) stoppé avant une propagation majeure

Huntress — Le fournisseur a publiĂ© un rapport dĂ©crivant un incident impliquant le ransomware KawaLocker (KAWA4096), une variante apparue en juin 2025, dont l’attaque a Ă©tĂ© dĂ©tectĂ©e et contenue avant un impact organisationnel Ă©tendu. Le scĂ©nario dĂ©bute par une compromission RDP via un compte compromis. Les attaquants dĂ©ploient des utilitaires pour dĂ©sactiver les outils de sĂ©curitĂ© (notamment kill.exe et HRSword) et chargent des drivers noyau (sysdiag.sys et hrwfpdr.sys de Beijing Huorong Network Technology). Une Ă©numĂ©ration rĂ©seau est menĂ©e avec advancedportscanner.exe, suivie de tentatives de mouvement latĂ©ral via PsExec. ...

17 aoĂ»t 2025 Â· 2 min

Huntress observe le déploiement du ransomware KawaLocker (KAWA4096) via RDP et HRSword

Source: Huntress — Contexte: billet de blog dĂ©crivant un incident rĂ©cent oĂč le ransomware KawaLocker (KAWA4096) a Ă©tĂ© dĂ©ployĂ© dans un environnement client, avec chronologie, outils utilisĂ©s et «breadcrumbs» de dĂ©tection. Huntress a observĂ© dĂ©but aoĂ»t un accĂšs initial via RDP Ă  l’aide d’un compte compromis (08/08). Le threat actor a dĂ©ployĂ© kill.exe et l’outil HRSword (Huorong) pour surveiller le systĂšme et identifier/neutraliser des outils de sĂ©curitĂ© (usage de tasklist.exe | find). Des services Windows associĂ©s Ă  ces solutions ont ensuite crashĂ©. Deux drivers noyau signĂ©s Huorong — sysdiag.sys et hrwfpdr.sys — ont Ă©tĂ© installĂ©s puis supprimĂ©s via sc.exe (sc start/stop/delete), confirmant l’usage d’outils liĂ©s Ă  Beijing Huorong Network Technology. ...

15 aoĂ»t 2025 Â· 3 min

Le gang ransomware Interlock revendique une cyberattaque contre la ville de St. Paul (Minnesota)

Selon The Record, le gang de ransomware Interlock revendique une cyberattaque qui a perturbĂ© les opĂ©rations du gouvernement de la ville de St. Paul, Minnesota. 🚹 Acteur: Interlock (groupe de ransomware) 🎯 Cible: Gouvernement municipal de St. Paul (Minnesota, USA) ⚠ Impact annoncĂ©: Perturbation des opĂ©rations đŸ—Łïž Source: Article de presse spĂ©cialisĂ© de The Record rapportant la revendication du groupe Une attaque par ransomware a ciblĂ© l’administration municipale de St. Paul (Minnesota), selon le groupe Interlock, mis en garde le mois prĂ©cĂ©dent par le FBI. Ce gang affirme avoir volĂ© 43 Go de donnĂ©es, sans communiquer de demande de rançon ni de dĂ©lai de paiement. Les autoritĂ©s locales n’ont pas commentĂ©, mais le maire Melvin Carter prĂ©cise que les donnĂ©es des employĂ©s municipaux sont au cƓur des prĂ©occupations, tandis que les donnĂ©es des rĂ©sidents, hĂ©bergĂ©es dans une application cloud, n’ont pas Ă©tĂ© touchĂ©es. ...

11 aoĂ»t 2025 Â· 2 min

Columbia University victime d’une fuite de donnĂ©es: prĂšs de 870 000 personnes concernĂ©es

Selon BleepingComputer, un acteur malveillant non identifiĂ© a pĂ©nĂ©trĂ© le rĂ©seau de l’UniversitĂ© Columbia en mai et a exfiltrĂ© des informations sensibles. Type d’incident: intrusion rĂ©seau suivie d’une fuite de donnĂ©es. đŸ«đŸ”“ DonnĂ©es compromises: informations personnelles, financiĂšres et de santĂ©. 📄💳đŸ©ș Ampleur: prĂšs de 870 000 Ă©tudiants et employĂ©s, actuels et anciens, potentiellement touchĂ©s. L’article prĂ©cise que l’accĂšs non autorisĂ© a eu lieu en mai, qu’un acteur inconnu est Ă  l’origine de l’attaque, et que le volume de donnĂ©es exposĂ©es est significatif pour la communautĂ© universitaire concernĂ©e. ...

8 aoĂ»t 2025 Â· 1 min

Failles SharePoint exploitées par un groupe soutenu par la Chine; Microsoft épinglé pour un support basé en Chine

Selon ProPublica, Microsoft a annoncĂ© qu’un groupe soutenu par l’État chinois avait exploitĂ© des failles dans SharePoint (On‑Prem), permettant un accĂšs Ă©tendu Ă  des systĂšmes de centaines d’entreprises et d’agences fĂ©dĂ©rales, dont la NNSA et le DHS. Le mĂ©dia souligne que le support et la maintenance de SharePoint sont depuis des annĂ©es assurĂ©s par une Ă©quipe d’ingĂ©nieurs basĂ©e en Chine. Des captures d’écran d’un outil interne de Microsoft montrent des employĂ©s en Chine corrigeant rĂ©cemment des bugs sur SharePoint On‑Prem. Microsoft indique que cette Ă©quipe est supervisĂ©e par un ingĂ©nieur basĂ© aux États‑Unis, soumise aux exigences de sĂ©curitĂ© et aux revues de code, et qu’un transfert de ces activitĂ©s vers un autre lieu est en cours. ...

8 aoĂ»t 2025 Â· 2 min

Fuite massive de données non sécurisées sur les plateformes Chatox et Brosix

L’article de databreaches.net rapporte une fuite de donnĂ©es importante impliquant les plateformes de communication Chatox et Brosix, toutes deux dĂ©tenues par Stefan Chekanov. MalgrĂ© les promesses de sĂ©curitĂ© avancĂ©es par ces plateformes, un chercheur a dĂ©couvert un backup non sĂ©curisĂ© contenant 155,3 Go de fichiers compressĂ©s uniques. Ce backup exposait des informations sensibles telles que des noms, prĂ©noms, noms d’utilisateur, mots de passe, adresses IP, messages de chat et fichiers joints, le tout en texte clair. ...

6 aoĂ»t 2025 Â· 1 min
Derniùre mise à jour le: 5 juillet 2026 📝