Alerte #StopRansomware: avis conjoint CISA/FBI actualisé sur Akira avec nouvelles TTPs/IOCs et menace imminente

Source et contexte: Avis conjoint TLP:CLEAR des agences amĂ©ricaines FBI, CISA, DC3 et HHS, avec la participation d’Europol EC3, de l’Office Anti-CybercriminalitĂ© (France), d’autoritĂ©s allemandes et du NCSC-NL (Pays-Bas), mis Ă  jour le 13 novembre 2025 dans le cadre de l’initiative #StopRansomware. 🚹 Aperçu de la menace: Les acteurs d’Akira (associĂ©s Ă  Storm-1567, Howling Scorpius, Punk Spider, Gold Sahara, et possiblement liĂ©s Ă  Conti) ciblent surtout les PME mais aussi de grandes organisations, avec une prĂ©fĂ©rence pour les secteurs de la manufacture, Ă©ducation, IT, santĂ©, services financiers et agroalimentaire. Depuis 2023, Akira opĂšre sur Windows et Linux/ESXi; en juin 2025, premiĂšre attaque sur Nutanix AHV via l’abus de CVE-2024-40766 (SonicWall). Fin septembre 2025, le groupe revendique environ 244,17 M$ de rançons. Des exfiltrations ont Ă©tĂ© observĂ©es en un peu plus de 2 heures aprĂšs l’accĂšs initial. Le schĂ©ma reste double extorsion. Le binaire Megazord serait probablement tombĂ© en dĂ©suĂ©tude depuis 2024. ...

15 novembre 2025 Â· 3 min

Cinq personnes plaident coupable aux États‑Unis pour avoir aidĂ© la CorĂ©e du Nord via fraude IT Ă  distance et vols de cryptomonnaies

Selon BleepingComputer, le DĂ©partement de la Justice des États‑Unis (DoJ) a annoncĂ© que cinq individus ont plaidĂ© coupable pour leur rĂŽle dans des stratagĂšmes de gĂ©nĂ©ration de revenus illicites au profit de la CorĂ©e du Nord. Le cƓur de l’affaire porte sur une opĂ©ration de police visant des mĂ©canismes de fraude d’employĂ©s IT Ă  distance et de vols de cryptomonnaies. Les personnes impliquĂ©es ont admis avoir participĂ© Ă  ces activitĂ©s destinĂ©es Ă  alimenter des revenus illicites. ...

15 novembre 2025 Â· 1 min

DPRKxa0: des «xa0IT workersxa0» deviennent recruteurs pour industrialiser l’usurpation d’identitĂ©s sur les plateformes freelance

Source et contexte: SEAL Intel publie une analyse dĂ©taillĂ©e dĂ©crivant une Ă©volution des tactiques des « IT Workers » liĂ©s Ă  la DPRK, qui agissent dĂ©sormais comme recruteurs pour scaler l’accĂšs Ă  des comptes vĂ©rifiĂ©s sur des plateformes freelance et opĂ©rer sous des identitĂ©s lĂ©gitimes. ‱ Le rapport met en Ă©vidence l’émergence d’un modĂšle opĂ©rationnel en 8 Ă©tapes, partagĂ© depuis 2024, oĂč des profils DPRK passent du simple job-seeking au recrutement coordonnĂ© de « collaborateurs ». Objectif: obtenir des comptes vĂ©rifiĂ©s et des IP propres pour contourner les contrĂŽles, tout en obscurcissant l’attribution et en maximisant les revenus. ...

15 novembre 2025 Â· 3 min

Faux Google Play sur Android diffuse le dropper « GPT Trade » qui installe BTMob et UASecurity Miner

D3Lab a dĂ©couvert un faux site imitant le Google Play Store destinĂ© Ă  distribuer une application Android frauduleuse nommĂ©e GPT Trade, se prĂ©sentant comme un assistant de trading basĂ© sur l’IA et utilisant un branding ressemblant Ă  OpenAI/ChatGPT. En rĂ©alitĂ©, l’APK est un dropper multi-Ă©tapes conçu pour installer deux malwares puissants : BTMob (spyware Android trĂšs invasif) UASecurity Miner (module persistant liĂ© Ă  un packer Android abusĂ© par les cybercriminels) Cette campagne illustre un Ă©cosystĂšme moderne combinant phishing d’app store, packer-as-a-service, Telegram bots et infrastructure multi-C2. ...

15 novembre 2025 Â· 3 min

Kraken: nouveau groupe ransomware issu de HelloKitty, double extorsion et cibles Windows/Linux/ESXi

Selon le blog Talos Intelligence (Cisco Talos), des intrusions observĂ©es en aoĂ»t 2025 attribuĂ©es au groupe ransomware Kraken montrent des campagnes de big‑game hunting avec double extorsion, une filiation probable avec HelloKitty et des outils et TTPs avancĂ©s visant Windows, Linux et VMware ESXi. – Qui est Kraken ? Ce groupe, apparu en fĂ©vrier 2025, exploite la double extorsion et se montre opportuniste, sans verticales dĂ©diĂ©es. Son site de fuite recense des victimes aux États‑Unis, Royaume‑Uni, Canada, Danemark, Panama et KoweĂŻt. Les fichiers chiffrĂ©s portent l’extension .zpsc et une note de rançon readme_you_ws_hacked.txt redirige les victimes vers une URL onion. Dans un cas, une demande d’environ 1 M$ en Bitcoin a Ă©tĂ© observĂ©e. Le groupe a annoncĂ© un forum souterrain, The Last Haven Board, prĂ©tendant offrir un canal anonyme et sĂ©curisĂ©, avec un message de soutien de l’équipe HelloKitty et de WeaCorp, renforçant les liens supposĂ©s avec HelloKitty. ...

15 novembre 2025 Â· 4 min

La Commission européenne formalise le Cloud Sovereignty Framework v1.2.1 pour les offres cloud

Source: Commission europĂ©enne (DG for Digital Services) — Contexte: publication du « Cloud Sovereignty Framework » v1.2.1 (octobre 2025), dĂ©finissant objectifs, niveaux d’assurance et mĂ©thode de scoring pour Ă©valuer la souverainetĂ© des services cloud dans les procĂ©dures de marchĂ©s publics. Le document prĂ©cise 8 objectifs de souverainetĂ© (SOV-1 Ă  SOV-8) s’appuyant sur des rĂ©fĂ©rentiels et initiatives europĂ©ens (CIGREF v2, Gaia-X, ENISA/NIS2/DORA) et sur des retours d’expĂ©rience nationaux (France « Cloud de Confiance », Allemagne « SouverĂ€ner Cloud »). Les objectifs couvrent: ...

15 novembre 2025 Â· 3 min

Le courtier d’accùs initial de Yanluowang plaide coupable aux États-Unis

Source: CyberScoop (Matt Kapko, 7 novembre 2025). L’article dĂ©taille la plaidoirie de culpabilitĂ© d’Aleksei Olegovich Volkov, 25 ans, alias ‘chubaka.kor’, pour son rĂŽle d’initial access broker (IAB) au sein du groupe de ransomware Yanluowang entre juillet 2021 et novembre 2022. Volkov et des co-conspirateurs ont ciblĂ© au moins sept entreprises amĂ©ricaines (dont une entreprise d’ingĂ©nierie et une banque). Les victimes ont subi du vol et chiffrement de donnĂ©es, des attaques DDoS et des appels tĂ©lĂ©phoniques de harcĂšlement visant Ă  accroĂźtre la pression. Deux victimes ont payĂ© au total 1,5 M$ de rançon, et le montant cumulĂ© exigĂ© auprĂšs des sept victimes atteignait 24 M$. Certaines organisations ont dĂ» interrompre temporairement leurs opĂ©rations. đŸ’„ ...

15 novembre 2025 Â· 2 min

Le Swiss FS-CSC mĂšne un cyberexercice majeur pour la place financiĂšre suisse et liechtensteinoise

Source: Swiss Financial Sector Cyber Security Centre (Swiss FS-CSC). Dans un communiquĂ© datĂ© du 13 novembre 2025, l’association annonce avoir conduit Ă  Zurich un exercice opĂ©rationnel d’envergure pour la place financiĂšre suisse et liechtensteinoise, visant Ă  amĂ©liorer la cyberrĂ©silience sectorielle. L’exercice a simulĂ© une cyberattaque complexe en plusieurs Ă©tapes contre le secteur financier. Les 134 participants — CISO/RSSI, responsables sĂ©curitĂ©, responsables et analystes SOC, analystes des menaces et analystes principaux — devaient reconnaĂźtre les signaux faibles, limiter les effets, se coordonner via la plateforme d’échange du Swiss FS-CSC avec d’autres instituts et autoritĂ©s, et assurer la continuitĂ© des activitĂ©s. ...

15 novembre 2025 Â· 2 min

Logitech confirme une fuite de données revendiquée par le gang Clop

Selon BleepingComputer, Logitech a confirmĂ© avoir subi une fuite de donnĂ©es aprĂšs une cyberattaque revendiquĂ©e par le gang d’extorsion Clop. Le gĂ©ant suisse des accessoires informatiques Logitech a confirmĂ© un incident de cybersĂ©curitĂ© avec exfiltration de donnĂ©es, aprĂšs avoir Ă©tĂ© revendiquĂ© par le groupe d’extorsion Clop. L’attaque s’inscrit dans la vague de campagnes Clop visant des instances Oracle E-Business Suite via une faille zero-day en juillet 2025. Faits clĂ©s Logitech indique avoir subi une exfiltration de donnĂ©es, sans impact sur : ...

15 novembre 2025 Â· 3 min

Lumma Stealer repart à la hausse et adopte l’empreinte navigateur pour l’exfiltration et un C2 furtif

Source: GBHackers Security — L’article dĂ©crit la reprise d’activitĂ© de l’infostealer Lumma aprĂšs le doxxing prĂ©sumĂ© de ses membres clĂ©s, ainsi que l’apparition de capacitĂ©s plus sophistiquĂ©es, notamment l’utilisation de l’empreinte navigateur. AprĂšs le doxxing prĂ©sumĂ© de ses membres clĂ©s, le voleur d’informations Lumma Stealer (Water Kurita, selon Trend Micro) avait connu une forte chute d’activitĂ©, ses clients migrant vers Vidar ou StealC. Mais depuis fin octobre 2025, une reprise soutenue est observĂ©e, accompagnĂ©e d’évolutions majeures dans les capacitĂ©s du malware, notamment une nouvelle infrastructure de fingerprinting navigateur et des techniques renforcĂ©es d’évasion. ...

15 novembre 2025 Â· 3 min
Derniùre mise à jour le: 7 juillet 2026 📝