Posts

🧱 DragonForce change de stratégie : vers un cartel du ransomware Le groupe DragonForce, déjà connu pour ses activités de ransomware, a annoncé une nouvelle stratégie organisationnelle : regrouper plusieurs acteurs cybercriminels sous un modèle de “cartel”, où chaque affilié peut agir sous sa propre marque. 💼 Un modèle RaaS à la carte DragonForce propose aux groupes affiliés de : Utiliser leur infrastructure complète (site de fuite de données, outils de négociation, hébergement du malware) Déployer le ransomware sous leur propre nom de groupe Éviter les coûts de maintenance d’une infrastructure autonome En échange, DragonForce prélève 20 % des rançons perçues, un taux plus attractif que les 30 % souvent appliqués dans les modèles classiques de Ransomware-as-a-Service (RaaS). ...

5G a-t-il tué l’IMSI catcher ? Depuis les débuts du GSM (2G), un problème majeur subsiste : les IMSI catchers, ces dispositifs capables d’intercepter l’identifiant unique des utilisateurs mobiles (IMSI) en clair, pour les géolocaliser ou les identifier. Ce risque existait aussi sur les réseaux 3G et 4G. Qu’est-ce qu’un IMSI catcher ? Un IMSI catcher intercepte les communications mobiles pour capturer l’IMSI : Actif : il simule une fausse antenne pour forcer les téléphones à se connecter. Efficace mais détectable et illégal. Passif : il écoute discrètement les communications. Plus discret mais nécessite un positionnement stratégique. Le problème de mobilité Chaque fois qu’un téléphone change de cellule (ex : en mouvement dans un train), il peut exposer son IMSI, surtout en 2G/3G. Même en 4G, il reste des failles, notamment aux frontières de réseau ou lors des basculements entre technologies. ...

Dans une série en deux parties, SpiderLabs explore le trafic malveillant associé à Proton66, révélant l’ampleur et la nature de ces attaques. À partir du 8 janvier 2025, SpiderLabs a observé une augmentation des tentatives de balayage en masse, de force brute et d’exploitation en provenance de Proton66 ASN ciblant des organisations du monde entier. Bien que des activités malveillantes aient été observées dans le passé, la hausse et la baisse soudaine observées plus tard en février 2025 étaient notables. Les adresses IP offensantes ont été enquêtées. AS198953, appartenant à Proton66 OOO, se compose de cinq blocs de réseau, qui sont actuellement répertoriés sur des listes de blocage telles que Spamhaus en raison de l’activité malveillante. Les blocs de réseau 45.135.232.0/24 et 45.140.17.0/24 étaient particulièrement actifs en termes de balayage en masse et de tentatives de force brute. Plusieurs des adresses IP offensantes n’avaient pas été vues auparavant dans des activités malveillantes ou étaient inactives depuis plus de deux ans. ...

Quand le cybercrime déborde dans le monde réel : le kidnapping de Danbury En août 2024, Sushil et Radhika Chetal, un couple aisé du Connecticut, sont victimes d’un kidnapping digne d’un film : piégés dans leur Lamborghini, frappés, ligotés et embarqués dans une camionnette sous les yeux de témoins, dont un agent du FBI. Heureusement, les autorités interviennent rapidement et arrêtent plusieurs ravisseurs. Au départ, rien ne laissait penser que le couple avait été ciblé pour sa richesse. Mais une piste inattendue est apparue : leur fils, Veer Chetal, 18 ans, discret étudiant connu pour son amour des voitures de luxe, était en réalité lié à un vol massif de cryptomonnaies. ...

Selon un rapport de Google publié en avril 2025, le Royaume-Uni est devenu une cible privilégiée pour une escroquerie impliquant de faux travailleurs informatiques déployés par la République populaire démocratique de Corée. Ces faux employés sont généralement embauchés pour travailler à distance, ce qui leur permet d’échapper à la détection et de transférer leurs salaires à l’État de Kim Jong-un. Un cas révélé l’année dernière impliquait un seul travailleur nord-coréen déployant au moins 12 personnalités à travers l’Europe et les États-Unis. Ce travailleur informatique cherchait des emplois dans l’industrie de la défense et les secteurs gouvernementaux. Sous une nouvelle tactique, ces faux professionnels de l’informatique ont menacé de divulguer des données sensibles de l’entreprise après avoir été licenciés. ...

Tendances d’exploitation de vulnérabilités – 1er trimestre 2025 VulnCheck a identifié 159 vulnérabilités (KEVs) exploitées pour la première fois dans la nature au T1 2025, provenant de 50 sources différentes. Le rythme d’exploitation rapide se poursuit : 28,3 % des vulnérabilités sont exploitées moins d’un jour après leur divulgation publique. Faits marquants 159 vulnérabilités exploitées en T1 2025. 28,3 % exploitées en moins de 24 heures après divulgation CVE. 25,8 % en attente d’analyse par la NIST NVD. 3,1 % marquées comme “Deferred” par la NVD. 2 KEVs concernent des CVEs réservées mais non publiées. 1 KEV a été rejetée. Quelles catégories et quels produits sont touchés ? Top 5 des catégories touchées : ...

Le 14 avril 2025, 4chan, l’imageboard anonyme emblématique du web, a subi une cyberattaque majeure qui a mené à son arrêt temporaire. Le groupe Operation Soyclipse, lié au forum rival Soyjak.party, a revendiqué l’attaque et publié des données sensibles : accès administratifs, adresses email et rôles internes. L’équipe OSINord a analysé ces fuites via la plateforme Darkside de District 4 Labs et révèle aujourd’hui la structure interne de 4chan. Comment l’attaque s’est déroulée Les attaquants ont exploité des vulnérabilités d’infrastructure pour accéder à des outils puissants : surveillance d’IP, gestion de contenu, accès statistiques… Ils ont même rouvert un ancien board (/qa/) pour annoncer publiquement la brèche. Ils affirment aussi avoir compromis le compte du propriétaire actuel, Hiroyuki Nishimura. ...

La cyberguerre entre Israël et l’Iran dure depuis l’épisode du malware Stuxnet dans les années 2010. Mais depuis l’attaque du 7 octobre 2023 par le Hamas et l’invasion israélienne de Gaza, un nouvel acteur est monté en puissance : CyberAv3ngers. Qui sont les CyberAv3ngers ? Un groupe lié aux Gardiens de la Révolution iraniens (IRGC). Présenté comme un hacktiviste au départ, mais clairement sponsorisé par l’État. Actif depuis 2020, mais s’est fait remarquer en novembre 2023. ...

Microsoft renforce sa sécurité cloud après une cyberattaque d’État Suite à une cyberattaque attribuée à un groupe soutenu par un État (probablement chinois), Microsoft annonce de grandes avancées dans son Secure Future Initiative (SFI), lancé en novembre 2023 pour élever son niveau de cybersécurité. Parmi les actions principales : Clés de signature sécurisées : Toutes les clés sensibles de Microsoft Account (MSA) et Entra ID sont désormais stockées dans des modules matériels sécurisés ou des machines virtuelles confidentielles Azure, avec rotation automatique pour limiter le risque de vol. Authentification renforcée : 90 % des comptes internes de Microsoft utilisent désormais une authentification multifacteur résistante au phishing. Défense en profondeur : Des protections supplémentaires ont été mises en place après des tests internes Red Team. Nettoyage du cloud : Microsoft a supprimé 6,3 millions de locataires Azure inactifs pour réduire la surface d’attaque. Migration sécurisée : 88 % des ressources cloud actives ont été déplacées sous Azure Resource Manager pour un contrôle renforcé, et 4,4 millions d’identités gérées sont désormais limitées à des réseaux approuvés. Pourquoi ces changements ? En 2021, un ingénieur de Microsoft s’était fait pirater un compte contenant une clé sensible dans un fichier de crash, utilisée ensuite pour pénétrer dans Outlook.com et OWA. L’affaire a révélé des faiblesses critiques dans la protection des identités cloud. ...

Hannah Neumann, eurodéputée allemande (Verts) et présidente de la délégation du Parlement européen pour les relations avec l’Iran, a été la cible d’une opération de cyberespionnage début 2025, probablement orchestrée par un groupe lié aux Gardiens de la révolution iraniens. Selon Neumann, les hackers ont utilisé des méthodes de spear-phishing sophistiquées : appels téléphoniques, emails frauduleux et pressions personnelles, pour pousser son équipe à ouvrir un lien piégé. Bien que son ordinateur de bureau ait été infecté, l’enquête de l’IT interne du Parlement confirme que l’attaque a été bloquée avant toute exfiltration de données sensibles. ...