Monde

Contexte: S2W TALON (blog Medium du S2W Threat Intelligence Center) publie un rapport statistique et analytique sur l’écosystème ransomware au premier semestre 2025 (1er janv. – 30 juin 2025). • Volume et tendances clés 📊 3 624 victimes listées sur des sites de fuite, soit +58,4 % vs S1 2024, avec un pic en mars (émergence de 13 nouveaux groupes et exploitation de la vulnérabilité Cleo CVE-2024-55956 par TA505/CL0P). 91 groupes actifs, dont 51 nouveaux (RaaS en expansion, comportements plus imprévisibles). Le top 10 concentre 60,3 % des attaques. Baisse du taux de paiement (données Coveware), poussant les groupes à viser PME et cibles plus larges. États‑Unis les plus touchés (56,6 % des cas), corrélation avec le PIB et l’industrialisation numérique. Secteurs les plus touchés: Business Services (16,2 %, en forte hausse), apparition de la finance dans le top 10; gouvernements: 92 attaques (2,5 %), en nette hausse. • Groupes, rebrandings et écosystème 🔗 ...

Contexte: Présenté à Black Hat USA, l’article rapporte la découverte par des chercheurs d’un nouveau lot de vulnérabilités dans le protocole Terrestrial Trunked Radio (TETRA), regroupées sous le nom 2TETRA:2BURST. Les failles identifiées affectent notamment le mécanisme propriétaire de chiffrement de bout en bout (E2EE) de TETRA. Elles l’exposent à des attaques par relecture et force brute, et permettraient même de déchiffrer du trafic chifré. Points clés: Vulnérabilités: ensemble de failles nommé « 2TETRA:2BURST » Technologie concernée: protocole de radiocommunications TETRA Impact: exposition de l’E2EE à des attaques de relecture et de force brute, avec possibilité de décryptage du trafic Contexte de divulgation: présentation à Black Hat USA TTPs mentionnées: ...

Selon l’extrait d’actualité fourni, Google a annoncé que son protected Kernel-based Virtual Machine (pKVM) pour Android a obtenu la certification SESIP Niveau 5, le niveau d’assurance le plus élevé pour les plateformes IoT et mobiles. Cette annonce met en avant l’obtention par pKVM du plus haut niveau de garantie défini par le cadre SESIP (Security Evaluation Standard for IoT Platforms), attestant d’un niveau d’assurance maximal pour la sécurité de la plateforme. ...

Selon Truesec, deux attaques de chaîne d’approvisionnement distinctes ont visé l’écosystème npm, entraînant la publication de versions malveillantes de paquets populaires contenant le malware JavaScript Scavenger Stealer. • Première attaque: campagnes de spear phishing utilisant des domaines typosquattés (npnjs.com au lieu de npmjs.com) pour collecter les identifiants de mainteneurs et pousser des paquets compromis. • Seconde attaque: compromission directe de l’organisation GitHub de Toptal, permettant la publication de paquets npm malveillants sans commits de code source visibles. ...

Selon BleepingComputer, Microsoft a annoncé que les systèmes sous Windows 11 23H2 en éditions Home et Pro cesseront de recevoir des mises à jour dans trois mois. Points clés: Produits concernés: Windows 11 23H2 (Home, Pro) Changement: arrêt de la distribution des mises à jour Échéance: dans trois mois à compter de l’annonce Source: Annonce de Microsoft, relayée par BleepingComputer 📰 Impact: les appareils exécutant cette version ne recevront plus de mises à jour après l’échéance, ce qui marque la fin du cycle de support pour ces éditions de Windows 11 23H2. ...

NVISO publie une analyse technique d’un kit de phishing actif, « PoisonSeed », lié à Scattered Spider et CryptoChameleon, qui cible des fournisseurs CRM et d’e-mailing de masse (SendGrid, Mailchimp, Google) en contournant la MFA via des attaques Adversary‑in‑the‑Middle (AitM). L’outil repose sur une infrastructure React et utilise des composants dédiés comme TurnstileChallenge.jsx (vérification de la victime), LoginForm.jsx (capture d’identifiants) et plusieurs modules 2FA (SMS, Email, Authenticator, API Key). Il recourt à des défis Cloudflare Turnstile factices et à un mécanisme de phishing “precision‑validated” qui vérifie côté serveur des paramètres d’e‑mail chiffrés via l’endpoint /api/check-email. ...

Source: GreyNoise — Dans un billet d’analyse, GreyNoise signale un pic significatif de tentatives de bruteforce visant les VPN SSL Fortinet, avec plus de 780 IPs uniques observées en une seule journée, le volume le plus élevé depuis plusieurs mois. Deux vagues d’attaque ont été identifiées: une campagne continue et une poussée concentrée débutée le 5 août, chacune présentant des signatures TCP distinctes. À l’aide du fingerprinting JA4+, les chercheurs ont suivi une évolution des cibles allant de FortiOS vers FGFM (FortiManager). ...

Selon BleepingComputer, près de deux mois après la diffusion des correctifs, plus de 3 300 appareils Citrix NetScaler demeurent non corrigés face à une vulnérabilité critique. L’article souligne que cette faille permet à des attaquants de contourner l’authentification en détournant des sessions utilisateur (session hijacking) ⚠️. Produits concernés : Citrix NetScaler. Impact : exposition persistante de milliers d’équipements à un contournement d’authentification via détournement de sessions, malgré la disponibilité de correctifs depuis près de deux mois. ...

Selon Pointwild, des chercheurs en sécurité ont analysé une campagne malveillante qui abuse de la popularité de Minecraft en se faisant passer pour des installateurs « Eaglercraft 1.12 Offline ». La cible principale est un public jeune et des joueurs occasionnels attirés par des téléchargements non officiels. Le logiciel malveillant embarque le RAT NjRat via Celesty Binder, qui assemble du contenu HTML légitime d’Eaglercraft avec la charge utile. À l’exécution, il dépose plusieurs fichiers (dont CLIENT.exe et WindowsServices.exe), met en place une persistance via les clés Run du registre, et ouvre des exceptions pare-feu via des commandes netsh. ...

Selon PolySwarm (blog), le groupe à l’origine du ransomware Gunra étend son opération au-delà de Windows avec une variante Linux axée sur la rapidité d’exécution et l’efficacité, observée avec un impact sur plusieurs secteurs (santé, gouvernement, fabrication) à l’échelle mondiale. • Aperçu de la menace: La variante Linux met l’accent sur la vitesse de chiffrement plutôt que sur la négociation immédiate, omettant la note de rançon pour maximiser la disruption. Elle cible plusieurs secteurs et s’inscrit dans une stratégie cross‑platform. ...