Posts

Le rapport annuel de Rubrik Zero Labs, intitulé The State of Data Security in 2025: A Distributed Crisis, met en lumière la situation préoccupante de la cybersécurité en Australie. Selon cette étude rapporté par le media Securitybrief, basée sur des entretiens avec plus de 1 600 responsables informatiques et de sécurité dans 10 pays, plus de 90 % des organisations australiennes ciblées par des ransomwares ont choisi de payer les rançons au cours de l’année écoulée. Cette statistique souligne une vulnérabilité critique dans la capacité des entreprises à se défendre et à se remettre des attaques. ...

Le rapport Health-ISAC Heartbeat du premier trimestre 2025 met en lumière une tendance continue d’incidents de cybersécurité et de violations de données affectant les organisations du secteur de la santé au cours de l’année écoulée. Bien que les événements liés aux ransomwares aient légèrement diminué au troisième trimestre de 2024, ils ont repris une tendance à la hausse au quatrième trimestre et se sont poursuivis au premier trimestre de cette année. Les vulnérabilités des fournisseurs de VPN et les identifiants compromis sont restés des thèmes récurrents qui ont posé des risques pour les organisations. ...

Proofpoint, un acteur majeur dans la recherche de menaces, a récemment mis en lumière une campagne active de prise de contrôle de comptes (ATO), nommée UNK_SneakyStrike, qui utilise le framework de pentesting TeamFiltration pour cibler les comptes utilisateurs Entra ID. Depuis décembre 2024, cette campagne a affecté plus de 80 000 comptes utilisateurs à travers des centaines d’organisations. Les attaquants exploitent l’API Microsoft Teams et des serveurs Amazon Web Services (AWS) pour mener des tentatives d’énumération d’utilisateurs et de pulvérisation de mots de passe. TeamFiltration, initialement conçu pour des tests de pénétration légitimes, est détourné pour des activités malveillantes, facilitant l’exfiltration de données et l’accès persistant via des applications natives comme Microsoft Teams, OneDrive et Outlook. ...

Le 28 avril 2025, une activité suspecte a été détectée sur le réseau informatique d’un comté, ce qui a conduit à des mesures immédiates pour sécuriser les systèmes. Parmi ces mesures, la déconnexion des infrastructures critiques et le lancement d’une enquête à grande échelle ont été effectués. Le comté collabore avec des experts en cybersécurité de premier plan pour comprendre la nature et l’étendue de l’incident, tout en informant les forces de l’ordre pour garantir une réponse complète. ...

Selon un article de Bleeping Computer, Erie Insurance et Erie Indemnity Company ont révélé qu’une cyberattaque survenue durant le week-end est à l’origine des récentes perturbations commerciales et des pannes de leur plateforme en ligne. L’incident a causé des dysfonctionnements sur le site web de l’entreprise, affectant potentiellement les services aux clients. Bien que les détails spécifiques de l’attaque ne soient pas fournis, il est clair que l’impact a été suffisamment significatif pour justifier une communication publique de la part de l’entreprise. ...

L’article publié par The Record met en lumière une série d’attaques de ransomware menées par un groupe cybercriminel nommé DarkGaboon. Ce groupe, motivé par des gains financiers, a été identifié pour la première fois par la société de cybersécurité russe Positive Technologies en janvier. Depuis 2023, DarkGaboon a ciblé diverses entreprises russes dans des secteurs tels que la banque, le commerce de détail, le tourisme et les services publics. Ces attaques démontrent une stratégie ciblée et persistante contre les infrastructures critiques de la Russie. ...

Dans un article publié par Veracode, l’entreprise a révélé la découverte de packages npm malveillants nommés ‘solders’ et ‘@mediawave/lib’. Ces packages utilisent une technique d’obfuscation Unicode inhabituelle pour dissimuler leur véritable objectif malveillant. L’analyse a mis en lumière une chaîne d’attaque complexe en douze étapes, débutant par un script postinstall dans le fichier package.json, qui déclenche automatiquement le malware lors de l’installation. Les étapes suivantes incluent l’utilisation de JavaScript obfusqué, de scripts PowerShell téléchargés à distance, et de fichiers batch lourdement obfusqués. ...

Aim Labs a récemment découvert une vulnérabilité critique appelée ‘EchoLeak’ dans Microsoft 365 (M365) Copilot. Cette faille permet à des attaquants d’exploiter des chaînes d’attaque pour extraire automatiquement des informations sensibles du contexte de M365 Copilot, sans que l’utilisateur en soit conscient. La technique d’exploitation, nommée ‘LLM Scope Violation’, représente une avancée majeure dans la recherche sur les attaques contre les agents d’IA, en exploitant les mécanismes internes des modèles. Cela pourrait avoir des manifestations supplémentaires dans d’autres chatbots et agents basés sur RAG. ...

Selon un article publié par The Register, des cybercriminels ont créé un faux installateur pour le modèle d’IA chinois DeepSeek-R1, y intégrant un malware inédit nommé ‘BrowserVenom’. Ce malware est capable de rediriger tout le trafic des navigateurs via un serveur contrôlé par les attaquants, permettant ainsi le vol de données, la surveillance des activités de navigation et l’exposition potentielle de trafic en clair. Les informations sensibles telles que les identifiants de connexion, les cookies de session, les informations financières, ainsi que les emails et documents sensibles sont à risque. ...

L’article publié par BleepingComputer met en lumière une série d’attaques menées par le groupe APT ‘Stealth Falcon’ exploitant une vulnérabilité RCE dans Windows WebDav. Depuis mars 2025, le groupe a ciblé des organisations de défense et gouvernementales en Turquie, au Qatar, en Égypte et au Yémen. Stealth Falcon, également connu sous le nom de ‘FruityArmor’, est réputé pour ses attaques de cyberespionnage contre des entités du Moyen-Orient. La vulnérabilité, identifiée sous le code CVE-2025-33053, provient d’une mauvaise gestion du répertoire de travail par certains exécutables système légitimes de Windows. En manipulant un fichier .url pour définir son répertoire de travail sur un chemin WebDAV distant, un outil intégré de Windows peut être trompé pour exécuter un exécutable malveillant depuis cet emplacement distant. ...