Posts

Analyse statique complète du ransomware Payload, dérivé du code source Babuk 2021, utilisant Curve25519+ChaCha20, ciblant Windows et ESXi avec 12 victimes et 2 603 Go exfiltrés. 🔍 Contexte Publié le 21 mars 2026 par Kirk sur derp.ca, cet article présente une analyse statique complète du ransomware Payload, actif depuis au moins le 17 février 2026. Le groupe revendique 12 victimes dans 7 pays, avec 2 603 Go de données exfiltrées, dont une attaque contre le Royal Bahrain Hospital (110 Go, deadline 23 mars 2026). ...

🗓️ Contexte Source : The Record Media, publié le 21 mars 2026. L’article rapporte une attaque ransomware ayant ciblé la ville de Foster City, une municipalité de la région de la Baie de San Francisco (Californie) comptant environ 34 000 habitants. 🔐 Nature de l’incident La ville a subi une violation de sécurité informatique qualifiée de ransomware. Les attaquants auraient potentiellement obtenu des informations publiques concernant des personnes ayant eu des interactions avec la ville. ...

Team Cymru a découvert un répertoire ouvert sur un serveur Beast Ransomware exposant l’intégralité de la chaîne d’attaque des opérateurs, de la reconnaissance à l’exfiltration. 🔍 Contexte En mars 2026, Team Cymru a publié une analyse technique détaillée d’un serveur appartenant aux opérateurs du ransomware Beast, découvert via leur système de collecte NetFlow et Open Ports. L’adresse IP 5.78.84.144 hébergée chez Hetzner (AS212317) exposait un répertoire ouvert sur le port 8000 contenant l’ensemble de la boîte à outils des attaquants. ...

🗓️ Contexte Article publié par SecurityWeek le 16 mars 2026, couvrant les suites de la campagne d’attaque ciblant les clients d’Oracle E-Business Suite (EBS), revendiquée par le groupe Cl0p. 🎯 Nature de l’attaque Le groupe Cl0p a exploité des vulnérabilités zero-day dans Oracle E-Business Suite pour accéder aux données stockées par des organisations clientes, puis a utilisé ces données à des fins d’extorsion. La communauté cybersécurité associe cette opération au cluster FIN11, qui serait le moteur opérationnel derrière la marque publique Cl0p. ...

🔍 Contexte Publié le 21 mars 2026 sur SecurityAffairs, cet article synthétise les alertes d’Apple et les recherches de Google GTIG et Lookout Threat Labs concernant deux kits d’exploitation iOS actifs : Coruna (alias CryptoWaters) et DarkSword. 🧰 Kit Coruna (alias CryptoWaters) Identifié initialement en février 2025 par Google GTIG, Coruna cible les iPhones sous iOS 13.0 à 17.2.1. Il comprend 5 chaînes d’exploitation complètes et 23 exploits individuels couvrant : ...

📰 Source : TechCrunch, article de Zack Whittaker publié le 20 mars 2026. 🎯 Contexte : Intoxalock, entreprise américaine spécialisée dans les éthylotests embarqués pour véhicules (dispositifs anti-démarrage), a été victime d’une cyberattaque détectée le 14 mars 2026. La société déclare sur son site être en situation de « downtime » et a pris des mesures pour suspendre temporairement certains de ses systèmes à titre préventif. 💥 Impact opérationnel : Les dispositifs Intoxalock nécessitent une calibration périodique (tous les quelques mois) La cyberattaque a rendu impossible la réalisation de ces calibrations Les véhicules dont les dispositifs nécessitent une calibration ne peuvent plus démarrer Des conducteurs sont signalés bloqués dans plusieurs États : New York, Minnesota, Maine, et d’autres Un garage à Middleboro (Massachusetts) rapporte des véhicules immobilisés dans son parking depuis une semaine La technologie Intoxalock est déployée dans 46 États et sert 150 000 conducteurs par an ❓ Nature de l’attaque : Intoxalock n’a pas confirmé le type d’attaque (ransomware ou violation de données), ni l’existence de communications ou de demandes de rançon de la part des attaquants. Aucun délai de rétablissement n’a été communiqué. ...

🌐 Contexte Le 21 mars 2026, Security Affairs rapporte qu’une opération internationale coordonnée par le Département de Justice américain (DoJ) a ciblé l’infrastructure de commandement et contrôle (C2) de plusieurs botnets IoT majeurs : AISURU, Kimwolf, JackSkid et Mossad. L’opération a impliqué des autorités du Canada et de l’Allemagne, ainsi que des entreprises technologiques privées. 🎯 Botnets ciblés et ampleur Les quatre botnets ont infecté plus de 3 millions d’appareils dans le monde, principalement des équipements IoT (caméras, routeurs). Ils opéraient selon un modèle cybercrime-as-a-service, louant l’accès aux appareils compromis pour lancer des attaques DDoS massives : ...

📅 Source : BleepingComputer — publié le 21 mars 2026 🔍 Contexte Google a annoncé l’introduction d’un nouveau mécanisme dans Android nommé Advanced Flow, destiné à encadrer le sideloading d’APK (installation d’applications hors Play Store) provenant de développeurs non vérifiés. ⚙️ Détails de la fonctionnalité Advanced Flow est conçu pour les utilisateurs avancés (power users) souhaitant installer des applications depuis des sources tierces non vérifiées. L’objectif est de permettre cette pratique de manière plus sécurisée, en ajoutant un flux de contrôle supplémentaire lors du processus d’installation. 📌 Type d’article Il s’agit d’une annonce de mise à jour produit par Google concernant une évolution de sécurité dans le système d’exploitation Android. Le but principal est d’informer sur une nouvelle fonctionnalité de sécurité visant à réduire les risques liés au sideloading d’applications. ...

Le groupe hacktiviste pro-palestinien Handala, lié à l’Iran, a compromis les credentials Global Admin de Stryker Corporation pour déclencher un wipe massif via Microsoft Intune le 11 mars 2026. 🗓️ Contexte Source : ThreatHunter.ai, publié le 21 mars 2026. L’article analyse l’attaque destructrice menée par Handala contre Stryker Corporation, fabricant américain de dispositifs médicaux, dans la nuit du 11 mars 2026. 💥 Déroulement de l’attaque Les attaquants ont compromis l’environnement Microsoft Entra ID de Stryker et obtenu des credentials Global Administrator. Ils ont ensuite émis des commandes de wipe à distance en masse via Microsoft Intune, la plateforme MDM cloud de l’entreprise. L’attaque a débuté juste après minuit EDT et a touché : ...

Amazon Threat Intelligence a découvert qu’Interlock ransomware exploitait CVE-2026-20131 dans Cisco Secure Firewall Management Center comme zero-day depuis le 26 janvier 2026, soit 36 jours avant la divulgation publique. 🔍 Contexte Le 21 mars 2026, Amazon Threat Intelligence a publié sur le blog de sécurité AWS une analyse technique détaillée d’une campagne active du groupe Interlock ransomware exploitant CVE-2026-20131, une vulnérabilité critique dans Cisco Secure Firewall Management Center (FMC) Software. ...