Rapport D'incident

Source: Huntress — Dans un billet technique, Huntress détaille une enquête d’incident Qilin avec télémétrie minimale, reconstruite grâce à des artefacts Windows pour retracer l’attaque du premier accès jusqu’au chiffrement. Les analystes ont travaillé sans EDR, SIEM ni canaris ransomware, s’appuyant sur des journaux d’événements Windows, AmCache et les journaux Program Compatibility Assistant (PCA). Ils ont identifié l’installation d’un RMM ScreenConnect non autorisé, des transferts de fichiers suspects (r.ps1, s.exe, ss.exe) et une progression de l’attaque allant de l’accès RDP à l’exécution du ransomware. 🧭 ...

Selon Sucuri (blog), une enquête d’incident détaille comment une fonctionnalité apparemment anodine d’un formulaire de contact (« S’envoyer une copie ») a été détournée pour envoyer 149 700 spams, entraînant une saturation des services de messagerie du serveur. • Constat initial 🚨: forte utilisation CPU liée aux processus dovecot/LMTP et présence de 149 700 emails dans la file d’attente Exim. Les en-têtes d’email indiquaient une origine localhost (127.0.0.1) avec authentification d’utilisateur local. ...

Source: Tom’s Hardware (Jowi Morales). Le média rapporte la revendication par le groupe de hackers Crimson Collective d’un piratage de Nintendo, accompagnée d’une capture d’écran partagée sur X par la société de renseignement Hackmanac. Le groupe affirme avoir accédé à des données de Nintendo, illustrées par des dossiers censés contenir des assets de production, des fichiers développeurs et des sauvegardes. Nintendo n’a pas communiqué sur l’incident, laissant planer l’incertitude sur l’authenticité de la preuve. ...

« BlackSuit Blitz » : une attaque dévastatrice contre un fabricant mondial d’équipements Le groupe Ignoble Scorpius, opérant le rançongiciel BlackSuit, a récemment frappé un grand fabricant international, selon une analyse de Unit 42 (Palo Alto Networks). L’incident, baptisé “BlackSuit Blitz”, illustre comment une simple compromission d’identifiants VPN peut déclencher une crise d’entreprise majeure. Du vishing à l’exfiltration de 400 Go L’attaque a débuté par un appel de hameçonnage vocal (vishing) : un employé, pensant parler au support interne, a saisi ses identifiants VPN sur un faux portail. À partir de là, les assaillants ont : ...

Selon The Record, Harvard University a déclaré qu’un incident récent affectant des clients d’Oracle E‑Business Suite n’a touché, au sein de l’institution, qu’un nombre limité de parties rattachées à une petite unité administrative. 🎓 Harvard victime d’une cyberattaque exploitant une faille zero-day dans Oracle E-Business Suite L’Université Harvard a confirmé avoir été touchée par une campagne de cyberattaques exploitant une vulnérabilité zero-day dans le système Oracle E-Business Suite (EBS), une plateforme largement utilisée pour la gestion des finances, des ressources humaines et de la logistique. ...

Selon Talos, en août 2025, des acteurs se réclamant du milieu Warlock ont mené une campagne de ransomware ayant fortement impacté l’environnement IT d’un client. • Les assaillants, identifiés comme « affiliés » à Warlock d’après la note de rançon et l’usage de son data leak site (DLS), ont déployé simultanément les ransomwares Warlock, LockBit et Babuk. L’objectif: chiffrer des VMware ESXi et des serveurs Windows, provoquant une interruption sévère des systèmes. ...

Source: Arctic Wolf — SonicWall a conclu son enquête sur l’exposition de fichiers de sauvegarde de configuration stockés dans les comptes MySonicWall, confirmant que tous les clients utilisant la sauvegarde cloud sont affectés. L’incident est critique car ces fichiers contiennent des identifiants sensibles historiquement exploités par des groupes étatiques et des rançongiciels. • Impact et nature de l’exposition: Les sauvegardes de configuration de pare-feu exposées incluent des informations sensibles telles que les paramètres d’utilisateurs/groupes/domaines, la configuration DNS, des certificats et des identifiants. Les acteurs malveillants peuvent viser ces données pour un accès non autorisé aux environnements protégés. 🚨 ...

Selon The Record, alors qu’Asahi annonçait avoir relancé la production de sa bière Super Dry au Japon, le gang de rançongiciel Qilin a publié des captures d’écran de documents qu’il présente comme issus des réseaux internes de l’entreprise. L’information met en lumière une revendication de la part de Qilin, un groupe de cybercriminels spécialisé dans les attaques par rançongiciel. Les éléments partagés par le groupe incluent des captures d’écran de documents censés provenir de réseaux internes d’Asahi. ...

Selon GitGuardian (blog), un groupe nommé Crimson Collective a revendiqué une intrusion dans l’instance GitLab utilisée par Red Hat Consulting, avec exfiltration massive de données et exposition de secrets opérationnels. Red Hat a confirmé que l’incident concerne uniquement l’instance GitLab de consulting, sans impact sur sa chaîne d’approvisionnement logicielle. Le Centre pour la Cybersécurité de Belgique a publié un avis de haut risque à destination des clients des services de consulting Red Hat. 🚨 ...

BleepingComputer rapporte qu’au Royaume-Uni, des clients de Renault et Dacia ont été informés d’une compromission de leurs données après une fuite de données survenue chez un prestataire tiers. Les clients de Renault et Dacia au Royaume-Uni ont été informés qu’une cyberattaque visant un prestataire tiers a compromis certaines données sensibles[translate:personnelles] partagées avec le constructeur automobile. Les informations exposées incluent les noms complets, genre, numéros de téléphone, adresses email et postales, ainsi que les numéros d’identification et d’enregistrement des véhicules. Aucune donnée bancaire ou financière n’a été affectée. ...