CVE-2024-57727

🔍 Contexte Publié le 17 juin 2026 par l’Acronis Threat Research Unit (TRU), ce rapport constitue une analyse technique et stratégique approfondie du groupe INC Ransomware, opération RaaS découverte mi-2023 et désormais classée parmi les cinq groupes ransomware les plus actifs mondialement en 2026. 📈 Évolution et historique INC Ransomware a émergé en 2023 comme une opération semi-privée basée sur un modèle d’affiliation. Le groupe a rapidement développé des variantes Windows et Linux/ESXi, ciblant notamment les hyperviseurs VMware. En 2024, le code source (Windows + Linux/ESXi) a été mis en vente sur des forums underground par un utilisateur nommé “salfetka” (lié aux alias “rinc” et “farnetwork”, associé aux opérations Nokoyawa, JSWORM, Nefilim, Karma et Nemty) pour 300 000 USD (limité à trois acheteurs). Cette vente a conduit à l’émergence des familles Lynx et Sinobi avec un chevauchement de code significatif. ...

🏛️ Contexte Le Centre for Cybersecurity Belgium (CCB), département CyTRIS, a publié le 29 avril 2026 un rapport de threat intelligence (version 1.0, TLP:CLEAR) consacré au groupe DragonForce, avec une date de coupure renseignement au 16 avril 2026. Ce rapport constitue un profil complet de l’acteur, couvrant sa motivation, son attribution, ses victimes, ses capacités techniques et son infrastructure. 🎯 Présentation de l’acteur DragonForce est un opérateur Ransomware-as-a-Service (RaaS) à double extorsion apparu en décembre 2023. Le groupe a compromis plus de 400 victimes à ce jour, dont deux organisations belges (secteurs construction et services aux entreprises). Sa motivation est exclusivement financière, sans affiliation politique ni sponsoring étatique identifié. ...

Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd, un magnifique agrégateur de vulnérabilités discutées sur le Fediverse. CVE-2025-4275 Produit : Insyde Software InsydeH2O Score CVSS : 7.8 (HIGH) Poids social : 466.5 (posts: 5, utilisateurs: 4) Description : “L’exécution de l’utilitaire fourni modifie le certificat sur n’importe quel BIOS Insyde, puis le fichier .efi joint peut être lancé.” Date de publication : 2025-06-11T00:25:18Z Posts Fediverse (5 trouvés) 🗨️ Nikolaj Schlej (mastodon.social) – 2025-06-10T14:00:31Z @Nikolaj Schlej sur mastodon.social 🕒 2025-06-10T14:00:31Z How to check if your FW is vulnerable to Hydroph0bia (CVE-2025-4275): obtain a BIOS dump or a BIOS update for your PC, open it in UEFITool NE, open Search window on Text tab (Ctrl+F), search for Unicode text 'SecureFlashCertData'. If nothing had been found, our FW is fine. Otherw… ...

La Cybersecurity and Infrastructure Security Agency (CISA) americaine a publié un avis concernant l’exploitation par des acteurs de ransomware d’une vulnérabilité non corrigée dans SimpleHelp Remote Monitoring and Management (RMM). Cette vulnérabilité a été utilisée pour compromettre les clients d’un fournisseur de logiciels de facturation de services publics. Depuis janvier 2025, un schéma plus large d’attaques par ransomware a été observé, ciblant les organisations via des versions non corrigées de SimpleHelp RMM. Les versions concernées sont les versions 5.5.7 et antérieures, qui contiennent plusieurs vulnérabilités, notamment la CVE-2024-57727, une vulnérabilité de traversée de chemin. ...

L’article publié par Sophos MDR relate une attaque ciblée impliquant un fournisseur de services gérés (MSP). Un acteur malveillant a exploité l’outil de surveillance et de gestion à distance (RMM), SimpleHelp, pour déployer le ransomware DragonForce sur plusieurs points de terminaison. L’attaque a été facilitée par une chaîne de vulnérabilités révélées en janvier 2025, notamment des failles de traversée de chemin, de téléchargement de fichiers arbitraires et d’élévation de privilèges (CVE-2024-57727, CVE-2024-57728, CVE-2024-57726). Les attaquants ont également exfiltré des données sensibles, utilisant une tactique de double extorsion pour faire pression sur les victimes. ...