Posts

Help Net Security publie une synthèse des tendances récentes autour du ransomware (bilan 2024 et perspectives 2025), compilant des données de plusieurs acteurs du secteur et mettant en lumière l’essor des attaques, l’usage accru de l’IA par les groupes et la baisse des paiements. • Dynamique générale: Les menaces de ransomware s’intensifient en ampleur, sophistication et impact. Les week-ends et jours fériés restent des fenêtres privilégiées pour les intrusions (moins de surveillance des systèmes d’identité). Le nombre de victimes publiées sur des sites d’extorsion a explosé (3 734 listées entre janvier et juin, +20% vs S2 2024, +67% en glissement annuel). La chute de LockBit et AlphV a créé un vide, entraînant une multiplication d’acteurs moins coordonnés et plus imprévisibles. ...

Selon BleepingComputer (Lawrence Abrams), des membres se présentant comme « Scattered Lapsus$ Hunters » (SLH) ont revendiqué l’intrusion dans les systèmes de Resecurity et la vol de données internes, tandis que la société affirme que seuls des environnements leurres (honeypots) avec données factices ont été touchés et instrumentés à des fins de suivi. — Contexte et revendications — • Les acteurs ont publié des captures d’écran sur Telegram, affirmant avoir obtenu des « chats internes », des données d’employés, des rapports de renseignement et une liste de clients. • Parmi les preuves, une capture semblant montrer une instance Mattermost avec des échanges entre employés de Resecurity et du personnel de Pastebin au sujet de contenus malveillants. • Les acteurs disent agir en représailles à des tentatives présumées d’ingénierie sociale de Resecurity à leur encontre (simulation d’acheteurs d’une base de données financière vietnamienne). • Le porte-parole de ShinyHunters a indiqué à BleepingComputer ne pas être impliqué dans cette activité, malgré l’usage du label « Scattered Lapsus$ Hunters ». ...

Selon Resecurity (blog, 24 décembre 2025; mise à jour 3 janvier 2026), l’entreprise a mené une opération de cyberdéception 🍯 en instrumentant des comptes « honeytrap » et un environnement applicatif émulé nourri de données synthétiques, afin d’observer un acteur menant du repérage puis des tentatives massives de scraping, avant d’indiquer que le groupe ShinyHunters est tombé à son tour dans ce piège. Resecurity a déployé des comptes leurres (notamment Office 365/VPN) et un environnement isolé (p. ex. Mattermost) peuplé de données synthétiques imitant des enregistrements consommateurs (>28 000) et transactions Stripe (>190 000), générées avec SDV, MOSTLY AI et Faker, en respectant les schémas API officiels. Des données de fuites déjà connues (potentiellement PII) ont été réutilisées pour accroître le réalisme. L’objectif: inciter l’attaquant à interagir dans un cadre contrôlé, sans recourir à des mots de passe ni à des clés API réelles. ...

La publication présente « SessionView », un utilitaire léger en C# destiné à l’énumération et l’affichage des sessions utilisateurs sur Windows Server/Client, avec extraction des GUID de session. • Fonctionnalités principales 🖥️ Énumération complète des sessions (actives, déconnectées, idle, etc.) Détails par session : Session ID, Station Name, Connection State, Username, Domain Récupération du GUID de session depuis le Registre Windows États pris en charge : WTSActive, WTSConnected, WTSDisconnected, WTSIdle, WTSListen, WTSReset, WTSDown, WTSInit Sortie console lisible pour une analyse rapide • Exigences et usage ...

Selon The Register (Jessica Lyons), un vendeur sur des forums du dark web affirme avoir violé l’ingénierie Pickett USA (Floride) et propose à la vente environ 139 Go de données d’infrastructure liées à plusieurs grandes utilities américaines, pour 6,5 bitcoins (~585 000 $). Le criminel dit détenir 892 fichiers « réels et opérationnels » issus de projets actifs concernant Tampa Electric Company, Duke Energy Florida et American Electric Power. Quatre fichiers échantillons auraient été fournis comme preuve. Pickett USA a « pas de commentaire ». Duke Energy indique enquêter et a rappelé disposer d’une équipe de cybersécurité mobilisée. Les deux autres entreprises n’ont pas répondu. The Register souligne que les allégations de criminels doivent être prises avec prudence. ...

Selon l’annonce du projet « witr » publiée le 4 janvier 2026, l’outil vise à répondre à la question « Why is this running? » en exposant la chaîne causale menant à l’existence d’un processus. Le projet open‑source witr fournit une vue causale, lisible et unifiée expliquant pourquoi un processus/service/port est actif, sur Linux et macOS. witr privilégie l’explication plutôt que l’énumération d’états. Il part d’une cible (nom de processus/service, PID ou port) et reconstruit la chaîne d’ascendance jusqu’à la source (ex. systemd, launchd, docker, pm2, cron, shell interactif). La sortie standard comprend la cible, les métadonnées du processus, la section clé « Why It Exists », la source principale unique, le contexte (répertoire, dépôt Git/branche, conteneur, exposition réseau) et des avertissements comme processus root, écoute sur 0.0.0.0, multiples redémarrages, mémoire élevée, uptime > 90 jours. ...

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2025-12-01 → 2026-01-01. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2025-55182 CVSS: 10.0 VLAI: Critical (confidence: 0.9804) CISA: KEV ProduitMeta — react-server-dom-webpack; Meta — react-server-dom-turbopack; Meta — react-server-dom-parcel Publié2025-12-03T15:40:56.894Z 💬 La vulnérabilité **CVE-2025-55182** est une **exécution de code à distance (RCE)** exploitable **avant authentification** dans **React Server Components** versions **19.0.0, 19.1.0, 19.1.1 et 19.2.0**. Elle concerne notamment les paquets **react-server-dom-parcel**, **react-server-dom-turbopack** et **react-server-dom-webpack**. Le problème vient d’un traitement **non sécurisé de la désérialisation** : le code vulnérable **désérialise de manière dangereuse** des charges utiles (payloads) provenant de **requêtes HTTP** envoyées vers des **endpoints de “Server Function”**. Un attaquant distant peut ainsi fournir un payload spécialement conçu pour déclencher une **RCE**. Explications des termes ...

Selon CEUR Workshop Proceedings (STPIS25), une étude de l’Université de Portsmouth analyse l’intégration de l’IA (machine learning appliqué) dans les Security Operations Centres (SOC) via une enquête mixte auprès de 58 professionnels de la cybersécurité. Le travail se concentre sur l’IA pour la détection d’anomalies et le tri des alertes, en excluant les modèles génératifs (LLM). Principaux constats quantitatifs: 68% déclarent utiliser au moins une technologie d’IA en opérations SOC. Les cas d’usage dominants sont le tri/détection des menaces, l’analyse de trafic réseau, l’identification de comportements, la détection de phishing et l’automatisation de tickets/réponse. 84% jugent l’IA efficace pour réduire les alertes non pertinentes et l’alert fatigue. La confiance reste conditionnelle: 19% déclarent une forte confiance, 34% une confiance partielle, avec une préférence pour l’IA en corrélation/enrichissement plutôt qu’en scorage de sévérité. ...

Source : KrebsOnSecurity (2 janv. 2026). L’article synthétise des recherches de Synthient et d’autres acteurs (XLab, Quokka, Akamai, Spur) sur le botnet « Kimwolf », actif depuis plusieurs mois et opérant à grande échelle. Kimwolf a atteint entre 1,8 et 2 millions d’appareils compromis, majoritairement des boîtiers Android TV non officiels et des cadres photo connectés. Les machines infectées servent à relayer du trafic abusif (fraude publicitaire, prises de contrôle de comptes, scraping) et à lancer des DDoS massifs. Les infections sont concentrées notamment au Brésil, Inde, États‑Unis, Vietnam, Arabie saoudite, Russie (observations variables selon les sources XLab/Synthient). ...

Source: NATO Science & Technology Organization (STO) — Chief Scientist Research Report. Le rapport présente la compréhension OTAN de la « guerre cognitive », formalise des cadres d’analyse et recense les activités S&T conduites pour anticiper, contrer et rendre les Alliés plus résilients face aux opérations d’influence soutenues par les technologies émergentes. Le document définit la guerre cognitive comme l’exploitation de la cognition humaine pour « perturber, miner, influencer ou modifier » la prise de décision, via des moyens militaires et non militaires, visant militaires et civils. Il souligne que cette approche dépasse l’InfoOps, les PsyOps et le STRATCOM, en s’attaquant à l’environnement informationnel et à la boucle OODA (Observe–Orient–Decide–Act) à l’échelle individuelle, de groupe et sociétale, souvent sous le seuil du conflit armé, avec des vecteurs comme la désinformation et les deepfakes. ...