Posts

🚨 Découverte d’une infrastructure liée au ransomware Fog En décembre 2024, les chercheurs du DFIR Report ont découvert un répertoire public exposé sur Internet, hébergeant des fichiers et scripts malveillants probablement utilisés par un affilié du groupe de ransomware Fog. 🔍 Techniques utilisées par l’attaquant L’analyse du contenu a révélé l’emploi d’une large gamme d’outils offensifs permettant de : Obtenir un accès initial via des identifiants VPN SonicWall compromis ; Voler des identifiants Windows avec DonPAPI ; Exploiter Active Directory avec Certipy, Zer0dump ou encore noPac ; Maintenir un accès persistant via AnyDesk, configuré automatiquement par script PowerShell ; Contrôler les machines via Sliver C2 et se déplacer latéralement avec Proxychains ou Powercat. 🌍 Victimes ciblées Les cibles identifiées appartenaient à des secteurs variés tels que : ...

Publié le 28 avril 2025, un rapport d’actualité révèle que la société VeriSource Services, spécialisée dans la gestion des avantages sociaux pour les employés, a été victime d’une importante fuite de données. Quatre millions de personnes ont vu leurs informations personnelles exposées suite à cette violation de données. VeriSource Services a émis un avertissement suite à cette violation, bien que les détails précis de l’incident restent encore flous. Il n’est pas clair comment les attaquants ont réussi à accéder aux données, ni quelles mesures de sécurité étaient en place pour protéger ces informations. ...

Une information publiée le 28 avril 2025 révèle qu’une vulnérabilité de téléchargement de fichiers non authentifiée de gravité maximale affecte plus de 1200 instances de SAP NetWeaver exposées sur Internet. Cette vulnérabilité est activement exploitée par des attaquants pour prendre le contrôle des serveurs. SAP NetWeaver est une plateforme de technologie intégrée pour toutes les applications SAP. Elle fournit la base technique pour une grande variété de produits SAP. La vulnérabilité permet aux attaquants de télécharger des fichiers sans avoir besoin de s’authentifier, ce qui peut potentiellement conduire à un détournement de serveur. Les utilisateurs de SAP NetWeaver sont donc fortement encouragés à mettre à jour leurs systèmes pour corriger cette vulnérabilité. ...

🧱 DragonForce change de stratégie : vers un cartel du ransomware Le groupe DragonForce, déjà connu pour ses activités de ransomware, a annoncé une nouvelle stratégie organisationnelle : regrouper plusieurs acteurs cybercriminels sous un modèle de “cartel”, où chaque affilié peut agir sous sa propre marque. 💼 Un modèle RaaS à la carte DragonForce propose aux groupes affiliés de : Utiliser leur infrastructure complète (site de fuite de données, outils de négociation, hébergement du malware) Déployer le ransomware sous leur propre nom de groupe Éviter les coûts de maintenance d’une infrastructure autonome En échange, DragonForce prélève 20 % des rançons perçues, un taux plus attractif que les 30 % souvent appliqués dans les modèles classiques de Ransomware-as-a-Service (RaaS). ...

5G a-t-il tué l’IMSI catcher ? Depuis les débuts du GSM (2G), un problème majeur subsiste : les IMSI catchers, ces dispositifs capables d’intercepter l’identifiant unique des utilisateurs mobiles (IMSI) en clair, pour les géolocaliser ou les identifier. Ce risque existait aussi sur les réseaux 3G et 4G. Qu’est-ce qu’un IMSI catcher ? Un IMSI catcher intercepte les communications mobiles pour capturer l’IMSI : Actif : il simule une fausse antenne pour forcer les téléphones à se connecter. Efficace mais détectable et illégal. Passif : il écoute discrètement les communications. Plus discret mais nécessite un positionnement stratégique. Le problème de mobilité Chaque fois qu’un téléphone change de cellule (ex : en mouvement dans un train), il peut exposer son IMSI, surtout en 2G/3G. Même en 4G, il reste des failles, notamment aux frontières de réseau ou lors des basculements entre technologies. ...

Dans une série en deux parties, SpiderLabs explore le trafic malveillant associé à Proton66, révélant l’ampleur et la nature de ces attaques. À partir du 8 janvier 2025, SpiderLabs a observé une augmentation des tentatives de balayage en masse, de force brute et d’exploitation en provenance de Proton66 ASN ciblant des organisations du monde entier. Bien que des activités malveillantes aient été observées dans le passé, la hausse et la baisse soudaine observées plus tard en février 2025 étaient notables. Les adresses IP offensantes ont été enquêtées. AS198953, appartenant à Proton66 OOO, se compose de cinq blocs de réseau, qui sont actuellement répertoriés sur des listes de blocage telles que Spamhaus en raison de l’activité malveillante. Les blocs de réseau 45.135.232.0/24 et 45.140.17.0/24 étaient particulièrement actifs en termes de balayage en masse et de tentatives de force brute. Plusieurs des adresses IP offensantes n’avaient pas été vues auparavant dans des activités malveillantes ou étaient inactives depuis plus de deux ans. ...

Quand le cybercrime déborde dans le monde réel : le kidnapping de Danbury En août 2024, Sushil et Radhika Chetal, un couple aisé du Connecticut, sont victimes d’un kidnapping digne d’un film : piégés dans leur Lamborghini, frappés, ligotés et embarqués dans une camionnette sous les yeux de témoins, dont un agent du FBI. Heureusement, les autorités interviennent rapidement et arrêtent plusieurs ravisseurs. Au départ, rien ne laissait penser que le couple avait été ciblé pour sa richesse. Mais une piste inattendue est apparue : leur fils, Veer Chetal, 18 ans, discret étudiant connu pour son amour des voitures de luxe, était en réalité lié à un vol massif de cryptomonnaies. ...

Selon un rapport de Google publié en avril 2025, le Royaume-Uni est devenu une cible privilégiée pour une escroquerie impliquant de faux travailleurs informatiques déployés par la République populaire démocratique de Corée. Ces faux employés sont généralement embauchés pour travailler à distance, ce qui leur permet d’échapper à la détection et de transférer leurs salaires à l’État de Kim Jong-un. Un cas révélé l’année dernière impliquait un seul travailleur nord-coréen déployant au moins 12 personnalités à travers l’Europe et les États-Unis. Ce travailleur informatique cherchait des emplois dans l’industrie de la défense et les secteurs gouvernementaux. Sous une nouvelle tactique, ces faux professionnels de l’informatique ont menacé de divulguer des données sensibles de l’entreprise après avoir été licenciés. ...

Tendances d’exploitation de vulnérabilités – 1er trimestre 2025 VulnCheck a identifié 159 vulnérabilités (KEVs) exploitées pour la première fois dans la nature au T1 2025, provenant de 50 sources différentes. Le rythme d’exploitation rapide se poursuit : 28,3 % des vulnérabilités sont exploitées moins d’un jour après leur divulgation publique. Faits marquants 159 vulnérabilités exploitées en T1 2025. 28,3 % exploitées en moins de 24 heures après divulgation CVE. 25,8 % en attente d’analyse par la NIST NVD. 3,1 % marquées comme “Deferred” par la NVD. 2 KEVs concernent des CVEs réservées mais non publiées. 1 KEV a été rejetée. Quelles catégories et quels produits sont touchés ? Top 5 des catégories touchées : ...

Le 14 avril 2025, 4chan, l’imageboard anonyme emblématique du web, a subi une cyberattaque majeure qui a mené à son arrêt temporaire. Le groupe Operation Soyclipse, lié au forum rival Soyjak.party, a revendiqué l’attaque et publié des données sensibles : accès administratifs, adresses email et rôles internes. L’équipe OSINord a analysé ces fuites via la plateforme Darkside de District 4 Labs et révèle aujourd’hui la structure interne de 4chan. Comment l’attaque s’est déroulée Les attaquants ont exploité des vulnérabilités d’infrastructure pour accéder à des outils puissants : surveillance d’IP, gestion de contenu, accès statistiques… Ils ont même rouvert un ancien board (/qa/) pour annoncer publiquement la brèche. Ils affirment aussi avoir compromis le compte du propriétaire actuel, Hiroyuki Nishimura. ...