Cybersécurité

Un incident de sécurité impliquant plusieurs entités du groupe Mineralogy et Queensland Nickel a été annoncé sur le site de la société minière australienne Mineralogy. L’incident s’est produit le 23 juin 2025, lorsqu’une attaque par ransomware a entraîné un accès non autorisé aux serveurs de ces entreprises. Les entités affectées comprennent notamment Queensland Nickel Group, Waratah Coal Pty Ltd, Central Queensland Coal, Gladstone Pacific Nickel Limited, ainsi que d’autres sociétés affiliées telles que Palmer Coolum Resort et Blue Star Line. Cette attaque a potentiellement compromis des informations personnelles détenues par ces entités. ...

L’actualité provient de l’usine-digitale.fr et concerne une potentielle fuite de données chez Naval Group. Le 26 juillet, Naval Group a déclaré être la cible d’une attaque réputationnelle après qu’un hacker a affirmé détenir des données classifiées et menacé de les publier en ligne. L’industriel n’a détecté aucune intrusion dans ses systèmes selon les premières investigations menées avec les services de l’État. Le cybercriminel a posté sa revendication le 23 juillet sur un forum, affirmant posséder des documents secret-défense de Naval Group. Un premier lot de données de 13 Go, comprenant des vidéos de surveillance sous-marine de 2003, a été publié. ...

Cet article de Trend Micro met en lumière les activités du groupe APT UNC3886, qui cible les infrastructures critiques dans les secteurs des télécommunications, gouvernement, technologie et défense, avec un focus récent sur Singapour. UNC3886 utilise des vulnérabilités zero-day dans les systèmes VMware vCenter/ESXi, Fortinet FortiOS et Juniper pour mener des attaques sophistiquées. Ils déploient un ensemble d’outils personnalisés pour maintenir un accès persistant et contourner les défenses avancées. Les outils utilisés incluent le backdoor TinyShell basé sur Python pour un accès à distance via HTTP/HTTPS, le rootkit Reptile pour le masquage de processus/fichiers et les capacités de port knocking, et le rootkit Medusa pour les portes dérobées PAM et la journalisation des authentifications. ...

L’article relate une action menée par les forces de l’ordre pour démanteler les sites web du groupe de ransomware BlackSuit. Ce groupe a été impliqué dans l’extorsion de centaines d’organisations à travers le monde ces dernières années. Le Département de la Justice des États-Unis a confirmé la saisie des domaines de BlackSuit, soulignant que cette action a été autorisée par un tribunal. Les sites .onion de BlackSuit sur le dark web ont été remplacés par des bannières de saisie, indiquant que le groupe a été ciblé par l’agence fédérale U.S. Homeland Security Investigations. ...

Cybercrime : Lumma Stealer et Noname057(16) toujours actifs malgré les opérations de police En mai et juillet, Europol et la Bundesanwaltschaft suisse avaient annoncé deux succès majeurs contre des cybercrime-bandes internationales : le démantèlement de l’infrastructure de la malware Lumma Stealer et un coup porté au groupe DDoS prorusse Noname057(16). Mais selon plusieurs experts en cybersécurité, ces victoires se révèlent moins efficaces qu’espéré. Le cheval de Troie voleur de données Lumma Stealer a rapidement refait surface sous des versions améliorées. Cette nouvelle variante cible toujours les identifiants de comptes en ligne, données de navigateurs et portefeuilles crypto, mais se dissimule désormais via des composants logiciels légitimes et des domaines apparemment fiables, rendant sa détection plus complexe. Les chercheurs de Trend Micro notent que la bande utilise aussi Cloudflare pour masquer ses serveurs de commande et contrôle. ...

Selon un article publié par Bleeping Computer, un hacker a réussi à intégrer un code destructeur de données dans une version de l’assistant génératif d’Amazon, connu sous le nom de Q Developer Extension pour Visual Studio Code. Cette attaque vise à compromettre les développeurs utilisant cette extension en insérant un code malveillant capable de supprimer des données. L’extension affectée est utilisée dans l’environnement de développement Visual Studio Code, ce qui pourrait avoir des conséquences significatives pour les développeurs qui l’utilisent. ...

L’article publié par Prodaft dans son repository Github “malware-ioc” met en lumière une campagne malveillante orchestrée par le groupe LARVA-208. LARVA-208 a compromis le jeu Steam Chemia pour distribuer plusieurs familles de malwares. Les binaries malveillants ont été intégrés directement dans l’exécutable du jeu disponible sur la plateforme Steam. Lors du téléchargement et du lancement du jeu par les utilisateurs, le malware s’exécute en parallèle de l’application légitime. Cette méthode est utilisée par LARVA-208 pour livrer deux charges principales : Fickle Stealer et HijackLoader. Ces malwares permettent de voler des informations sensibles et d’infecter davantage les systèmes des victimes. ...

L’article de Microsoft Security met en lumière l’exploitation active de vulnérabilités critiques dans les serveurs SharePoint sur site, identifiées comme CVE-2025-49706 et CVE-2025-49704, par des acteurs malveillants. Ces vulnérabilités permettent des attaques de spoofing et d’exécution de code à distance, affectant uniquement les serveurs SharePoint sur site et non SharePoint Online. Microsoft a publié des mises à jour de sécurité pour protéger contre ces vulnérabilités, mais avertit que des groupes d’acteurs étatiques chinois, notamment Linen Typhoon et Violet Typhoon, ainsi qu’un acteur nommé Storm-2603, exploitent activement ces failles pour déployer des ransomwares tels que Warlock. ...

Le 23 juillet 2025, le groupe hospitalier suisse AMEOS a annoncé qu’il avait subi un accès non autorisé à ses systèmes informatiques malgré des mesures de sécurité étendues. Cet incident a potentiellement compromis des données sensibles de patients, employés et partenaires. Les informations concernées incluent des données personnelles et des coordonnées susceptibles d’être exploitées à des fins malveillantes ou divulguées à des tiers. L’organisation a exprimé ses regrets face à cet incident et aux conséquences potentielles pour les personnes affectées. ...

En juillet 2025, une alerte a été diffusée concernant le ransomware Interlock, observé pour la première fois en septembre 2024. Ce malware cible principalement des entreprises et des infrastructures critiques en Amérique du Nord et en Europe. Le FBI a souligné que les acteurs derrière Interlock choisissent leurs victimes en fonction des opportunités, avec une motivation principalement financière. Ce ransomware est notable pour ses encryptors capables de chiffrer des machines virtuelles sur les systèmes d’exploitation Windows et Linux. ...