DeadLock: une campagne ransomware exploite un driver Baidu (BYOVD) pour neutraliser l’EDR

Source: Cisco Talos — Dans une analyse technique, Talos dĂ©taille une campagne de ransomware DeadLock utilisant un loader BYOVD inĂ©dit pour exploiter la vulnĂ©rabilitĂ© du driver Baidu Antivirus (CVE-2024-51324), neutraliser les EDR, Ă©tendre l’accĂšs puis chiffrer des systĂšmes Windows avec un algorithme maison. Exploitation BYOVD et Ă©vasion des dĂ©fenses. L’acteur place un loader (« EDRGay.exe ») et le driver vulnĂ©rable de Baidu renommĂ© (« DriverGay.sys ») dans le dossier VidĂ©os, initialise le pĂ©riphĂ©rique « \.\BdApiUtil » et envoie un IOCTL 0x800024b4 (fonction 0x92D) pour forcer, en mode noyau, la terminaison des processus EDR (ZwTerminateProcess) sans vĂ©rification de privilĂšges — T1211: Exploitation for Defense Evasion. Cette Ă©tape dĂ©sactive les dĂ©fenses et Ă©lĂšve les privilĂšges pour prĂ©parer le chiffrement. ...

14 dĂ©cembre 2025 Â· 4 min

Ransomware industriel Q3 2025 : 742 incidents, domination de Qilin et fragmentation RaaS

Selon Dragos, ce rapport de menace couvre le T3 2025 (juillet-septembre) et analyse les tendances ransomware visant les environnements ICS/OT et les systĂšmes IT qui soutiennent les opĂ©rations industrielles. ‱ Volume et cibles : Dragos recense 742 incidents ransomware (+) touchant des entitĂ©s industrielles, avec l’AmĂ©rique du Nord en tĂȘte, suivie de l’Europe puis de l’Asie (hausse en ThaĂŻlande). Le secteur manufacturier concentre 72% des cas (532), dont la construction (142) comme sous-secteur le plus affectĂ©. D’autres secteurs en hausse incluent gouvernement (35) et Ă©lectrique/renouvelables (16). Les impacts montrent comment des intrusions IT peuvent perturber la production et la logistique sans toucher directement les rĂ©seaux ICS. ...

14 dĂ©cembre 2025 Â· 3 min

Unit 42 rĂ©vĂšle 01flip, un ransomware Rust multi‑plateforme ciblant l’Asie‑Pacifique

Selon Palo Alto Networks (Unit 42), un nouveau ransomware nommĂ© 01flip a Ă©tĂ© observĂ© dĂšs juin 2025, utilisĂ© par le cluster financier CL-CRI-1036 contre un nombre limitĂ© de victimes en Asie-Pacifique, incluant des entitĂ©s d’infrastructures critiques en Asie du Sud-Est. Les opĂ©rateurs demandent 1 BTC et communiquent via e‑mail/messagerie privĂ©e. Une publication sur forum clandestin Ă©voque des fuites concernant des victimes aux Philippines et Ă  TaĂŻwan, bien que 01flip lui‑mĂȘme n’intĂšgre pas d’exfiltration. Aucune vitrine de double extorsion n’a Ă©tĂ© constatĂ©e. ...

14 dĂ©cembre 2025 Â· 3 min

19 extensions malveillantes détectées sur le Marketplace VS Code, avec fichier PNG piégé

Selon des chercheurs de ReversingLab, 19 extensions malveillantes ont été identifiées sur le Marketplace VS Code, la majorité embarquant un fichier malveillant se faisant passer pour une image PNG. Campagne malveillante ciblant VS Code via des dépendances piégées 1. Contexte général Les chercheurs de ReversingLabs ont identifié une campagne active depuis février 2025, découverte le 2 décembre 2025, impliquant 19 extensions malveillantes Visual Studio Code publiées sur le VS Code Marketplace. ...

13 dĂ©cembre 2025 Â· 4 min

Apple corrige deux 0‑days WebKit exploitĂ©s via iOS/iPadOS 26.2

Selon Cyber Security News, Apple a publiĂ© le 12 dĂ©cembre 2025 les mises Ă  jour iOS 26.2 et iPadOS 26.2 pour corriger deux 0‑days WebKit activement exploitĂ©s, ainsi que plus de 30 vulnĂ©rabilitĂ©s supplĂ©mentaires touchant plusieurs composants. 🚹 0‑days WebKit activement exploitĂ©s CVE-2025-43529 (WebKit): vulnĂ©rabilitĂ© de use-after-free permettant une exĂ©cution de code arbitraire via du contenu web malveillant; dĂ©couverte par Google Threat Analysis Group (TAG). CVE-2025-14174 (WebKit): corruption mĂ©moire; crĂ©ditĂ©e Ă  Apple et Google TAG. Les deux failles sont liĂ©es Ă  des campagnes de spyware ciblĂ©es, ciblant des utilisateurs spĂ©cifiques d’iPhone sur des versions antĂ©rieures Ă  iOS/iPadOS 26. Autres correctifs critiques đŸ› ïž ...

13 dĂ©cembre 2025 Â· 2 min

Berlin attribue une cyberattaque d’aoĂ»t 2024 au GRU et dĂ©nonce la campagne d’ingĂ©rence Storm 1516

Selon une dĂ©claration du ministĂšre des Affaires Ă©trangĂšres allemand, le service de renseignement militaire russe GRU est tenu pour responsable d’une attaque informatique survenue en aoĂ»t 2024, et la Russie aurait tentĂ©, via la campagne Storm 1516, d’influencer et de dĂ©stabiliser la derniĂšre Ă©lection de fĂ©vrier. đŸ‡©đŸ‡Ș Attribution officielle: le GRU est dĂ©signĂ© comme auteur de l’attaque d’aoĂ»t 2024. đŸ‡·đŸ‡ș OpĂ©ration d’influence: la campagne Storm 1516 est accusĂ©e d’avoir visĂ© l’ingĂ©rence et la dĂ©stabilisation du scrutin de fĂ©vrier. đŸ’» Les Ă©lĂ©ments communiquĂ©s relĂšvent d’une prise de position publique des autoritĂ©s allemandes, soulignant l’aspect Ă  la fois cyber (attaque informatique) et informationnel (ingĂ©rence Ă©lectorale) de la menace. ...

13 dĂ©cembre 2025 Â· 1 min

Campagne AMOS: des pubs Google mĂšnent Ă  de faux chats Grok/ChatGPT pour infecter macOS

Selon BleepingComputer, une nouvelle campagne liĂ©e au malware AMOS cible les utilisateurs via des publicitĂ©s Google et des conversations se prĂ©sentant comme Grok ou ChatGPT. La campagne abuse des Google Search Ads pour attirer les victimes vers des conversations Grok/ChatGPT qui paraissent « utiles ». Ces Ă©changes servent de leurre et conduisent Ă  l’installation du voleur d’informations AMOS sur macOS. L’élĂ©ment central de l’attaque est un leurre conversationnel crĂ©dible, orchestrĂ© aprĂšs un premier contact via malvertising. L’issue dĂ©crite est l’infection macOS par AMOS (info-stealer). ...

13 dĂ©cembre 2025 Â· 1 min

CyberVolk relance un RaaS « VolkLocker » entiÚrement opéré via Telegram

Selon un article d’actualitĂ© du 13 dĂ©cembre 2025 publiĂ© par The Register, le collectif hacktiviste pro‑russe CyberVolk fait son retour aprĂšs plusieurs mois de silence avec un nouveau service de ransomware‑as‑a‑service (RaaS). La « mauvaise nouvelle » mise en avant est le lancement, Ă  la fin de l’étĂ©, de CyberVolk 2.x (aka VolkLocker), une opĂ©ration RaaS. Elle est entiĂšrement pilotĂ©e via Telegram ✈, ce qui abaisse fortement la barriĂšre Ă  l’entrĂ©e pour les affiliĂ©s. ...

13 dĂ©cembre 2025 Â· 1 min

États-Unis: inculpation d’une Ukrainienne liĂ©e Ă  CARR et NoName pour cyberattaques contre des infrastructures critiques

Source: United States Department of Justice (justice.gov), mise Ă  jour du 10 dĂ©cembre 2025. Contexte: annonce d’inculpations, rĂ©compenses et avis conjoint d’agences amĂ©ricaines visant des groupes hacktivistes pro-russes (CARR, NoName) impliquĂ©s dans des attaques mondiales contre des infrastructures critiques. Le DOJ a dĂ©voilĂ© deux inculpations visant la ressortissante ukrainienne Victoria Eduardovna Dubranova (alias « Vika », « Tory », « SovaSonya ») pour son rĂŽle prĂ©sumĂ© au sein de CyberArmyofRussia_Reborn (CARR) et NoName057(16) (NoName). ExtradĂ©e plus tĂŽt en 2025, elle a plaidĂ© non coupable dans les deux dossiers. Son procĂšs est prĂ©vu le 3 fĂ©v. 2026 (NoName) et le 7 avr. 2026 (CARR). Les autoritĂ©s soulignent la menace des hacktivistes pro-russes soutenus ou sanctionnĂ©s par l’État russe. ...

13 dĂ©cembre 2025 Â· 3 min

Faux torrent du film de Leonardo DiCaprio installe Agent Tesla via des sous-titres piégés

Selon BleepingComputer, un faux torrent du film de Leonardo DiCaprio ‘One Battle After Another’ cache des chargeurs PowerShell dans des fichiers de sous-titres, entraĂźnant l’installation du malware Agent Tesla (RAT) sur les appareils infectĂ©s. 🎬 Le vecteur d’infection repose sur un torrent frauduleux qui inclut des sous-titres piĂ©gĂ©s. Ces fichiers dĂ©clenchent des chargeurs PowerShell malveillants, utilisĂ©s pour dĂ©ployer la charge utile finale. L’impact dĂ©crit est l’infection des systĂšmes avec Agent Tesla, un RAT (Remote Access Trojan) bien connu, permettant la prise de contrĂŽle et la compromission des dispositifs ciblĂ©s. đŸ’» ...

13 dĂ©cembre 2025 Â· 1 min
Derniùre mise à jour le: 7 juillet 2026 📝