Selon l’Information Technology - Information Sharing and Analysis Center (IT-ISAC), l’activité ransomware a atteint 1 417 attaques au T3 2025, avec une concentration sur les secteurs Manufacturier critique, Installations commerciales et Technologies de l’information. 📈 Contexte et tendance: après une forte hausse en 2024 sur le second semestre (de 503 au T2 à 931 au T3, puis 1 537 au T4), 2025 montre un schéma similaire. Les deux premiers trimestres 2025 ont reculé de 1 537 (T1) à 1 288 (T2), avant de repartir à 1 417 (T3), suggérant une reprise de la dynamique en fin d’année. ...

Selon iVerify, HyperRat est un nouveau cheval de Troie d’accès à distance (RAT) pour Android vendu en modèle malware-as-a-service (MaaS) sur des forums russophones, avec une infrastructure gérée, un panneau web et un builder d’APK, illustrant la maturation du marché MaaS mobile. 🐀📱 Le malware fournit un panneau de contrôle web (en russe) gérant des appareils infectés via des IDs de « workers », et un générateur d’APK permettant de configurer nom et icône de l’application. Ses capacités incluent l’interception SMS/appels, le suivi GPS, le contrôle VNC de l’écran, l’injection d’overlays de phishing (WebView), l’icône masquée, le contournement de l’optimisation de batterie, le mode proxy SOCKS5 et l’intégration C2 via bot Telegram. ...

Selon l’article de analyst1, en septembre 2025, un opérateur de ransomware se présentant comme « Devman » a partagé un lien vers une nouvelle plateforme de Ransomware-as-a-Service (RaaS) quelques jours avant son lancement public. L’auteur décrit que « Devman » avait travaillé en solo pendant des mois sur du code DragonForce modifié, avant de formaliser une marque et de recruter des affiliés pour opérer en modèle RaaS. 🧩 Le timing est présenté comme inhabituel: quelques semaines auparavant, « Devman » affirmait quitter son équipe ransomware pour des raisons personnelles. Au lieu de se retirer, il a construit davantage d’infrastructure, lancé un programme d’affiliation et s’est positionné comme opérateur RaaS. 🔄 ...

Selon Picus Security, ce billet d’analyse présente un panorama actualisé du groupe Lazarus (APT38/Hidden Cobra), ses cibles, ses opérations marquantes et ses techniques avancées d’attaque. Lazarus est décrit comme un acteur étatique nord-coréen actif depuis 2009, menant simultanément de l’espionnage, du vol financier et des attaques destructrices à l’échelle mondiale. Les opérations notables citées incluent Sony Pictures (2014), la fraude SWIFT de la Bangladesh Bank (81 M$, 2016) et l’épidémie de ransomware WannaCry (2017). Les secteurs visés comprennent la finance, les gouvernements, la santé, la défense et les cryptomonnaies. ...

Source: Microsoft (Microsoft Digital Defense Report). Contexte: Bilan des incidents étudiés par les équipes sécurité de Microsoft, avec une analyse signée par le CISO Igor Tsyganskiy. • Principaux constats: dans 80% des incidents analysés, les attaquants ont cherché à voler des données 🔐. Plus de la moitié des attaques dont le mobile est connu sont liées à l’extorsion ou au ransomware, soit au moins 52% motivées par le gain financier 💰, tandis que les attaques d’espionnage ne représentent que 4%. ...

Selon BleepingComputer, les forces de l’ordre européennes ont mené l’opération “SIMCARTEL” qui a abouti au démantèlement d’un service illégal de SIM-box. 📱 Démantèlement d’un réseau européen de fraude téléphonique : opération « SIMCARTEL » Les forces de l’ordre européennes ont annoncé le démantèlement d’un vaste service illégal de “SIM-box” dans le cadre de l’opération SIMCARTEL, qui aurait facilité plus de 3 200 fraudes pour un préjudice total d’au moins 4,5 millions d’euros. L’infrastructure criminelle comprenait 1 200 appareils SIM-box et plus de 40 000 cartes SIM, utilisées pour des escroqueries allant du phishing et de la fraude à l’investissement à l’usurpation d’identité et à l’extorsion. ...

Selon Ars Technica (Dan Goodin), des chercheurs ont présenté « Pixnapping », une nouvelle attaque ciblant Android qui exploite un canal auxiliaire graphique pour reconstituer, pixel par pixel, des informations affichées par d’autres apps. Google a publié une mitigation partielle en septembre (CVE-2025-48561) et prépare un correctif additionnel en décembre, sans signe d’exploitation active. • Nature de l’attaque: attaque par canal auxiliaire (timing de rendu GPU, liée à GPU.zip) permettant de déduire la couleur de pixels d’apps affichées en arrière-plan, comme si une capture d’écran non autorisée était réalisée. Le malware ne requiert aucune permission et cible tout contenu visible: codes 2FA, messages, emails, etc. Les données non affichées ne sont pas exposées. ...

Selon l’article, une rétrospective revient sur l’attaque par rançongiciel ayant frappé Capita, un prestataire gérant des données pour des millions de citoyens britanniques. Le texte s’ouvre sur l’idée que lorsqu’une entreprise de cette envergure est victime d’un rançongiciel, l’ensemble du secteur doit y prêter attention. L’article propose une chronologie de l’incident (« CapitaBreachTimeline »), visant à mettre en perspective les événements clés et leur enchaînement ⏱️. Éléments mis en avant: ...

Selon les autorités fédérales suisses, une enquête pénale est conduite depuis avril de l’an dernier par la Bundesanwaltschaft (BA), sous la coordination de Fedpol, en étroite collaboration avec le Bundesamt für Cybersicherheit (BACS) et des autorités de plusieurs pays. Le groupe de pirates Akira, apparu en mars 2023, est au cœur de cette procédure. Il opère avec un logiciel spécialisé et développé sur mesure et s’appuie sur une infrastructure IT distribuée à l’international 🌐. ...

Source: Binarly Research – Dans une étude à grande échelle, Binarly publie une analyse des mitigations de sécurité dans l’écosystème du firmware UEFI, couvrant 5 477 images de firmware et 2,2 millions de modules. Principaux constats chiffrés: Seulement 0,12% des modules implémentent des stack canaries et 94% sont dépourvus de Stack Guard. 88% des firmwares embarquent un microcode obsolète (et 71% sont jugés vulnérables à cause de microcodes dépassés dans l’analyse technique). 68% des modules DXE ne respectent pas les exigences d’alignement pour la protection NX/DEP, laissant des sections de code inscriptibles/exploitables. 6,3% des firmwares utilisent des clés Boot Guard divulguées. Seuls 9,38% appliquent correctement les politiques de protection mémoire DXE; 13% manquent la mitigation RSB stuffing. Détails techniques notables: ...