Rapport D'incident

BleepingComputer rapporte que le géant des RH Workday a divulgué une fuite de données liée à un fournisseur CRM tiers (Salesforce?), à la suite d’une attaque de social engineering. — L’essentiel Type d’attaque : social engineering Vecteur : accès non autorisé à une plateforme CRM tierce Impact : divulgation d’une fuite de données Organisation concernée : Workday (secteur RH) — Détails connus Selon l’annonce, des attaquants ont obtenu un accès au CRM d’un tiers utilisé par Workday, ce qui a conduit l’entreprise à déclarer une violation de données. L’incident est attribué à une manipulation sociale récente. ...

Huntress — Le fournisseur a publié un rapport décrivant un incident impliquant le ransomware KawaLocker (KAWA4096), une variante apparue en juin 2025, dont l’attaque a été détectée et contenue avant un impact organisationnel étendu. Le scénario débute par une compromission RDP via un compte compromis. Les attaquants déploient des utilitaires pour désactiver les outils de sécurité (notamment kill.exe et HRSword) et chargent des drivers noyau (sysdiag.sys et hrwfpdr.sys de Beijing Huorong Network Technology). Une énumération réseau est menée avec advancedportscanner.exe, suivie de tentatives de mouvement latéral via PsExec. ...

Source: Huntress — Contexte: billet de blog décrivant un incident récent où le ransomware KawaLocker (KAWA4096) a été déployé dans un environnement client, avec chronologie, outils utilisés et «breadcrumbs» de détection. Huntress a observé début août un accès initial via RDP à l’aide d’un compte compromis (08/08). Le threat actor a déployé kill.exe et l’outil HRSword (Huorong) pour surveiller le système et identifier/neutraliser des outils de sécurité (usage de tasklist.exe | find). Des services Windows associés à ces solutions ont ensuite crashé. Deux drivers noyau signés Huorong — sysdiag.sys et hrwfpdr.sys — ont été installés puis supprimés via sc.exe (sc start/stop/delete), confirmant l’usage d’outils liés à Beijing Huorong Network Technology. ...

Selon The Record, le gang de ransomware Interlock revendique une cyberattaque qui a perturbé les opérations du gouvernement de la ville de St. Paul, Minnesota. 🚨 Acteur: Interlock (groupe de ransomware) 🎯 Cible: Gouvernement municipal de St. Paul (Minnesota, USA) ⚠️ Impact annoncé: Perturbation des opérations 🗣️ Source: Article de presse spécialisé de The Record rapportant la revendication du groupe Une attaque par ransomware a ciblé l’administration municipale de St. Paul (Minnesota), selon le groupe Interlock, mis en garde le mois précédent par le FBI. Ce gang affirme avoir volé 43 Go de données, sans communiquer de demande de rançon ni de délai de paiement. Les autorités locales n’ont pas commenté, mais le maire Melvin Carter précise que les données des employés municipaux sont au cœur des préoccupations, tandis que les données des résidents, hébergées dans une application cloud, n’ont pas été touchées. ...

Selon BleepingComputer, un acteur malveillant non identifié a pénétré le réseau de l’Université Columbia en mai et a exfiltré des informations sensibles. Type d’incident: intrusion réseau suivie d’une fuite de données. 🏫🔓 Données compromises: informations personnelles, financières et de santé. 📄💳🩺 Ampleur: près de 870 000 étudiants et employés, actuels et anciens, potentiellement touchés. L’article précise que l’accès non autorisé a eu lieu en mai, qu’un acteur inconnu est à l’origine de l’attaque, et que le volume de données exposées est significatif pour la communauté universitaire concernée. ...

Selon ProPublica, Microsoft a annoncé qu’un groupe soutenu par l’État chinois avait exploité des failles dans SharePoint (On‑Prem), permettant un accès étendu à des systèmes de centaines d’entreprises et d’agences fédérales, dont la NNSA et le DHS. Le média souligne que le support et la maintenance de SharePoint sont depuis des années assurés par une équipe d’ingénieurs basée en Chine. Des captures d’écran d’un outil interne de Microsoft montrent des employés en Chine corrigeant récemment des bugs sur SharePoint On‑Prem. Microsoft indique que cette équipe est supervisée par un ingénieur basé aux États‑Unis, soumise aux exigences de sécurité et aux revues de code, et qu’un transfert de ces activités vers un autre lieu est en cours. ...

L’article de databreaches.net rapporte une fuite de données importante impliquant les plateformes de communication Chatox et Brosix, toutes deux détenues par Stefan Chekanov. Malgré les promesses de sécurité avancées par ces plateformes, un chercheur a découvert un backup non sécurisé contenant 155,3 Go de fichiers compressés uniques. Ce backup exposait des informations sensibles telles que des noms, prénoms, noms d’utilisateur, mots de passe, adresses IP, messages de chat et fichiers joints, le tout en texte clair. ...

L’article de Straight Arrow News rapporte une attaque de ransomware par le groupe Medusa contre le bureau du shérif de East Baton Rouge, en Louisiane. En avril 2024, Medusa a revendiqué le vol de plus de 90 gigaoctets de données, incluant des informations sensibles sur des informateurs confidentiels. Données exposées : Les données volées comprennent les noms, numéros de téléphone et numéros de sécurité sociale de 200 informateurs impliqués dans des enquêtes sur les stupéfiants, ainsi que des informations sur les agents et les numéros de dossiers. Des documents détaillent également les appareils saisis par le bureau du shérif et les outils utilisés pour extraire les données, tels que Cellebrite et GrayKey. ...

L’article publié par BleepingComputer met en lumière une campagne d’exploitation en cours ciblant une chaîne de vulnérabilités dans Microsoft SharePoint. Cette campagne a été rejointe récemment par des groupes de ransomware, ce qui a conduit à la compromission d’au moins 148 organisations à travers le monde. Les attaques exploitent des failles dans SharePoint, un outil largement utilisé pour la collaboration et la gestion de documents en entreprise. L’exploitation de cette vulnérabilité permet aux attaquants de s’introduire dans les systèmes des organisations ciblées, ce qui peut entraîner des fuites de données et des interruptions de service. ...

L’article publié par Specops Software met en lumière l’effondrement de KNP Logistics Group, une entreprise de 158 ans, suite à une attaque dévastatrice par le groupe de ransomware Akira. Cet incident tragique, ayant entraîné la perte de 700 emplois, souligne l’importance cruciale de la sécurité des mots de passe et de l’authentification multi-facteurs. L’attaque a débuté par l’accès initial aux systèmes de l’entreprise via des identifiants VPN compromis, dépourvus d’authentification multi-facteurs. Les attaquants ont ensuite exploité la vulnérabilité CVE-2024-40711 dans Veeam Backup & Replication pour créer des comptes administrateurs et déployer le ransomware. L’impact a été total avec le chiffrement des serveurs, des terminaux, des sauvegardes et des systèmes de reprise après sinistre. ...