SecurityAffairs rapporte que Colt Technology Services a confirmé une cyberattaque avec vol de données, alors que l’opérateur télécom s’emploie à rétablir des systèmes affectés depuis le 12 août 2025.

  • L’attaque est « rapportée » comme liée au ransomware WarLock et a entraîné des pannes pluri-journalières sur les services hosting, porting, Colt Online et Voice API. Les assaillants ont mis des données volées en vente sur le forum Ramp. Colt a d’abord parlé d’un « problème technique » avant de confirmer l’incident cyber et d’indiquer que le cœur de son réseau n’était pas impacté. La société a notifié les autorités et n’a pas communiqué de calendrier de rétablissement. ⚠️

  • Selon le chercheur Kevin Beaumont, les attaquants auraient probablement compromis sharehelp.colt.net via la faille Microsoft SharePoint CVE-2025-53770, puis seraient restés dans le réseau plus d’une semaine. Colt a arrêté des systèmes pour contenir la menace et poursuit l’enquête.

  • Un affilié WarLock, « cnkjasdfgd », a revendiqué l’attaque et propose 1 million de documents pour 200 000 $, incluant des données financières, employés, clients et internes. Colt précise que l’incident a touché un système de support métier, distinct de l’infrastructure de ses clients, et que des fichiers accessibles pourraient contenir des données relatives à des clients (mise à jour du 21 août 2025).

  • Profil de la menace: le WarLock Group (aka Storm-2603), lié à la Chine, est actif depuis au moins mars 2025, utilisant des chiffreurs LockBit et Babuk divulgués, avec des exigences de rançon variant d’environ 450 000 $ à plusieurs millions. 🔐

IOCs et TTPs:

  • IOCs:
    • Acteur: WarLock Group (Storm-2603); affilié: « cnkjasdfgd »
    • Hôte/Portail ciblé: sharehelp.colt.net
    • Forum de revente: Ramp
    • Vulnérabilité évoquée: CVE-2025-53770 (Microsoft SharePoint)
  • TTPs:
    • Exploitation présumée d’un zero-day SharePoint pour l’accès initial (attribué par Kevin Beaumont)
    • Exfiltration de données puis mise en vente sur forum cybercriminel
    • Utilisation de chiffreurs LockBit/Babuk réutilisés
    • Persistance dans le réseau pendant plus d’une semaine

Type d’article: article d’information spécialisé décrivant un incident en cours et ses éléments saillants.

🔗 Source originale : https://securityaffairs.com/181412/data-breach/colt-discloses-breach-after-warlock-ransomware-group-puts-files-up-for-sale.html

🖴 Archive : https://web.archive.org/web/20250824194753/https://securityaffairs.com/181412/data-breach/colt-discloses-breach-after-warlock-ransomware-group-puts-files-up-for-sale.html