Posts

🔍 Contexte Publié le 28 mai 2026 sur le SANS Internet Storm Center par Manuel Humberto Santander Peláez (Handler SANS ISC), cet article présente la reconstruction complète d’une kill chain Akira ransomware dans une organisation de taille moyenne, en utilisant exclusivement des syslogs SSLVPN de pare-feu et des exports EVTX Windows (canaux Security, System, PowerShell/Operational). Aucun EDR, aucun PCAP, aucun proxy log n’était disponible. 🚪 Accès initial (Stage 1) L’attaquant a conduit une attaque par brute-force ciblant un compte SSLVPN local unique, depuis une seule adresse IP dans une plage d’hébergeur. Le compte était désactivé dans Active Directory mais toujours provisionné localement sur le firewall, sans MFA. L’authentification réussie est intervenue après environ 6 heures d’attaque, sans pause — comportement typique du credential stuffing. ...

🔍 Contexte Publié le 28 mai 2026 par Microsoft Threat Intelligence sur le blog officiel Microsoft Security, cet article présente une analyse technique approfondie du ransomware The Gentlemen, opéré par le groupe Storm-2697. 🎭 Acteur de la menace Storm-2697 est un acteur à motivation financière qui gère la plateforme RaaS (Ransomware-as-a-Service) « The Gentlemen » Le groupe a émergé mi-2025 en tant que groupe fermé, avant d’ouvrir son programme d’affiliation en septembre 2025 Un partenariat officiel avec BreachForums a été établi pour recruter des affiliés, notamment des testeurs d’intrusion et des initial access brokers (IAB) ⚙️ Caractéristiques techniques Ransomware écrit en Go, obfusqué avec Garble Cible l’environnement Windows Techniques documentées : exécution, évasion de défense, chiffrement des fichiers, mouvement latéral et auto-propagation réseau Tactique de double extorsion : chiffrement des données ET exfiltration pour pression supplémentaire 🌍 Secteurs et zones géographiques ciblés Secteurs : éducation, transport, santé, finance Zones : Amérique du Nord, Amérique du Sud, Europe, Afrique, Asie 📄 Nature de l’article Il s’agit d’une analyse technique publiée par Microsoft, destinée aux défenseurs, aux équipes de réponse à incident et à la communauté de sécurité. L’article inclut le flux d’exécution, les comportements d’évasion, la conception du chiffrement, les techniques de mouvement latéral, des détections Microsoft Defender, des requêtes de chasse et des indicateurs de compromission (IOCs). ...

🗓️ Contexte Le 18 mai 2026, le marketplace criminel B1ack’s Stash a publié sur un forum underground un archive contenant 4 668 889 enregistrements de cartes de paiement compromises. L’analyse a été publiée le 28 mai 2026 par D3Lab (Andrea Draghetti). La publication avait un objectif explicitement promotionnel : attirer du trafic vers le marché illégal, renforcer sa réputation dans l’écosystème du carding, et punir des vendeurs accusés de revendre les mêmes cartes ailleurs. ...

🔍 Contexte Publié le 26 mai 2026 par ESET (WeLiveSecurity), cet article présente une analyse technique du malware Android BTMOB, un RAT (Remote Access Trojan) découvert lors d’une revue des détections de menaces au Brésil. L’analyse est signée par Daniel Cunha Barbosa. 🧬 Origine et évolution BTMOB a été décrit pour la première fois en février 2025 et est issu de l’évolution du malware SpySolr. Contrairement aux trojans bancaires classiques, BTMOB offre des capacités plus larges : ...

🗓️ Contexte Article publié le 28 mai 2026 par TechCrunch (Lorenzo Franceschi-Bicchierai). L’information provient de signalements relayés par le journaliste Josh Rogin (Washington Post) et de Mohammed Al-Maskati, directeur de la Digital Security Helpline d’Access Now. 🎯 Nature de l’attaque Une nouvelle campagne de phishing cible les utilisateurs de l’application de messagerie Signal. Les attaquants se font passer pour le support officiel de Signal via un compte nommé « Signal Support » et envoient un message prétextant un problème de synchronisation menaçant la perte permanente des sauvegardes. ...

🌍 Contexte Publié le 27 mai 2026 par Hunt.io, cet article présente les résultats d’une investigation sur une vaste campagne de smishing (phishing par SMS) initialement détectée via un avertissement de sécurité du portail gouvernemental roumain Ghișeul.ro (7 mai 2026). L’enquête a révélé une opération coordonnée à l’échelle mondiale. 📊 Ampleur de la campagne 1 628 URLs malveillantes confirmées actives dans 19 pays (Europe, Amériques, Caucase) 32 adresses IP backend réparties sur 6 régions géographiques Un identifiant de campagne unique de 128 caractères (39dabeddef7c2f0806110b305bd8ca7307c13ac987e7c64fc1d46752868a258958eba99f16413f522a4961dfb09565983 36fc258794664ccc9f71f25e8f688c5) présent dans le HTML de chaque page Infrastructure hébergée sur : Tencent Cloud (15 IPs), Cloudflare CDN (14 IPs), Alibaba Cloud (3 IPs), ALEXHOST Moldova (2 IPs) 🎯 Secteurs et entités ciblés Pays Organisation ciblée URLs Royaume-Uni DPD (livraison) 558 Irlande DPD (livraison) 47 États-Unis T-Mobile, DMV NC/OH 39 Espagne SEUR (postal) 9 Roumanie Ghișeul.ro (gouvernement) 9 Bulgarie MVR (Ministère de l’Intérieur) 10 Slovénie E-uprava (gouvernement) 9 France DAO/ASF (péages) 3 Géorgie TBC Pay (banque/amendes) 5 Albanie Vodafone 1 🔬 Analyse technique Deux templates de phishing distincts : ...

🔍 Contexte Publié le 20 mai 2026 par Zimperium (zLabs), cet article présente les résultats d’une investigation sur une campagne de fraude par facturation opérateur mobile (carrier billing fraud) ciblant des utilisateurs Android dans quatre pays : Malaisie, Thaïlande, Roumanie et Croatie. La campagne a été active d’au moins mars 2025 à janvier 2026 (~10 mois), avec des portions d’infrastructure encore opérationnelles à la date de publication. 🎯 Ciblage et distribution La campagne comprend près de 250 applications malveillantes distribuées via TikTok, Facebook et Google, se faisant passer pour des applications populaires : ...

🗓️ Contexte Article de presse généraliste publié par France 24 (AFP) le 29 mai 2026. Des chercheurs de l’Université Clemson ont documenté une campagne d’influence pro-russe ciblant la plateforme sociale Bluesky, attribuée à la Social Design Agency (SDA), firme moscovite déjà sanctionnée par les États-Unis, l’Union européenne et le Royaume-Uni. 🎯 Nature de l’attaque La campagne repose sur la compromission de comptes Bluesky authentiques — plutôt que sur la création de faux profils — pour diffuser des narratifs anti-Ukraine. Les comptes ciblés appartenaient principalement à : ...

📰 Source : BleepingComputer — Article publié le 28 mai 2026 par Sergiu Gatlan. 🎯 Contexte de l’incident Carnival Corporation, le plus grand opérateur de croisières au monde (plus de 160 000 employés, 13,5 millions de passagers en 2024, revenus supérieurs à 26 milliards de dollars), a confirmé une violation de données affectant 5 995 277 clients. L’incident a été revendiqué par le groupe cybercriminel ShinyHunters en avril 2026. 🔓 Déroulement de l’attaque ...

📰 Contexte Source : BleepingComputer, publié le 26 mai 2026. Charter Communications, l’un des plus grands fournisseurs d’accès Internet aux États-Unis (marque Spectrum), a confirmé avoir subi une violation de données après avoir été listé sur le site de fuite du groupe ShinyHunters. 🎯 Vecteur d’attaque Selon les déclarations du groupe à BleepingComputer, la compromission initiale a eu lieu le 1er avril via une attaque de voice phishing (vishing) ciblant un employé. Cette attaque a permis de compromettre un compte Microsoft Entra (SSO d’entreprise). ...