Posts

Selon Acronis (rubrique Threats and Vulnerabilities), un ransomware a visé la plateforme MUSE de Collins Aerospace, entraînant des perturbations majeures dans plusieurs aéroports européens, et a été formellement reconnu par RTX Corporation dans un dépôt à la SEC. • Faits marquants: un ransomware a touché la plateforme de traitement passagers ARINC MUSE, utilisée pour le partage de comptoirs, bornes et portes d’embarquement. Les aéroports de Heathrow, Bruxelles, Berlin et Dublin ont dû revenir à des procédures manuelles, provoquant retards et annulations. Un suspect a été arrêté au Royaume‑Uni puis libéré sous caution. Le variant du ransomware et le vecteur d’attaque restent non confirmés. RTX a apporté la première reconnaissance officielle de l’incident via une déclaration à la SEC. ✈️ ...

Selon la source fournie, REM Proxy, un réseau de proxys à visée criminelle, est présenté comme l’un des principaux utilisateurs du botnet SystemBC, offrant à ses clients environ 80 % du réseau SystemBC. Le service commercialise un pool de 20 000 routeurs Mikrotik et agrège également des proxys ouverts trouvés en ligne. REM Proxy est décrit comme populaire auprès d’acteurs malveillants, notamment ceux derrière TransferLoader, lié au groupe de ransomware Morpheus. ...

Selon Les Numériques, des rumeurs de vol de données visant l’Agence nationale des titres sécurisés (ANTS, devenue France Titres) évoquent un fichier de 12 millions d’enregistrements circulant sur le dark web, mais l’agence dément toute intrusion. • Position officielle de l’ANTS : aucune intrusion n’a été identifiée dans ses systèmes d’information par l’agence ni par le ministère de l’Intérieur. L’ANTS, qui gère des données sensibles (CNI, passeports, permis), rappelle être soumise à des mesures de sécurité strictes et à une surveillance étatique continue. ...

Source : Darktrace — Analyse d’une campagne émergente baptisée ShadowV2, conçue comme une plateforme DDoS-as-a-service, mêlant outils cloud-native et malware classique. • Le cœur de l’opération repose sur un C2 Python hébergé sur GitHub CodeSpaces, un spreader Python utilisant Docker comme vecteur d’accès initial, et un binaire Go jouant le rôle de RAT avec API REST pour l’enregistrement, le polling et l’exécution de commandes. L’infrastructure expose une spécification OpenAPI via FastAPI/Pydantic et un panneau opérateur complet, illustrant un modèle de DDoS-as-a-service. ...

Selon BleepingComputer (Sergiu Gatlan, 23 septembre 2025), SonicWall a publié un nouveau firmware pour les appliances SMA 100 afin d’aider à retirer un rootkit observé dans des attaques récentes. 🛡️ SonicWall annonce la version de firmware SMA 100 10.2.2.2-92sv avec vérifications de fichiers renforcées permettant de retirer des rootkits connus présents sur les équipements. L’éditeur recommande fortement la mise à niveau pour les SMA 210, 410 et 500v. 🔎 Contexte menace: en juillet, le Google Threat Intelligence Group (GTIG) a observé l’acteur UNC6148 déployer le malware OVERSTEP sur des appareils SMA 100 en fin de vie, dont le support se termine le 1er octobre 2025. OVERSTEP est un rootkit en mode utilisateur qui assure une persistance (composants cachés, reverse shell) et exfiltre des fichiers sensibles (dont les fichiers persist.database et certificats), exposant identifiants, graines OTP et certificats. ...

Selon The Record, dans un rapport de résultats, le distributeur The Co‑op a déclaré que ses revenus ont subi un manque à gagner de 206 M£ (environ 274 M$) en raison d’une cyberattaque survenue en avril. L’entreprise précise que l’impact concerne directement le poste des revenus, sans autres détails opérationnels fournis. 💰 Le chiffre communiqué quantifie l’ampleur financière de l’incident pour la période concernée. Il s’agit d’un court article d’actualité visant à rapporter l’estimation chiffrée de l’impact de l’attaque sur les revenus de The Co‑op. ...

Selon des médias français, le musée a été victime d’un vol majeur rendu possible par une cyberattaque ransomware en juillet qui a neutralisé ses alarmes et son système de vidéosurveillance. Les voleurs ont pénétré dans la section des minéraux en découpant une porte à la meuleuse puis en utilisant un chalumeau pour ouvrir une vitrine. Ils ont dérobé des spécimens d’or évalués à environ 705 000 $. D’après Emmanuel Skoulios, directeur général adjoint du Musée, quatre pépites d’un poids total de six kilogrammes ont été volées. Les rapports de la presse française lient directement la réussite du braquage à la panne des systèmes de sécurité causée par la cyberattaque de juillet. ...

Selon BitSight, une vulnérabilité critique référencée CVE-2025-20333 affecte les pare-feux Cisco ASA et FTD, est activement exploitée et a déclenché une directive d’urgence (ED 25-03) de la CISA exigeant une remédiation immédiate. 🚨 La faille est une zero-day avec un score CVSS de 9.9, permettant une exécution de code à distance (RCE) authentifiée. Elle pourrait autoriser la manipulation de ROMMON (le bootloader Cisco) pour maintenir une persistance sur les équipements compromis. ...

Selon l’extrait d’actualité rapportant une communication de la UK National Crime Agency (NCA), un homme d’une quarantaine d’années a été arrêté en West Sussex à la suite d’une cyberattaque qui a provoqué des perturbations à l’aéroport de Heathrow et dans d’autres grands aéroports durant le week‑end. ✈️ La NCA précise que le suspect a été interpellé pour des soupçons d’infractions au Computer Misuse Act et a été remis en liberté sous caution avec conditions. 🚓 ...

Source: Black Hills Information Security — BHIS annonce DomCat, un outil en ligne de commande (Golang) destiné aux professionnels de la cybersécurité pour repérer des domaines expirés présentant des catégorisations « sûres » susceptibles de contourner des filtres web lors d’engagements de pentest. DomCat s’intègre à deux APIs: NameSilo (récupération de données de domaines expirés) et Cloudflare Intel (vérification de la catégorisation). Il remplace des approches obsolètes fondées sur le web scraping. ...