Exfiltration De Données

🏦 Contexte Cet incident est rapporté via un dépôt 8-K auprès des régulateurs, publié le 20 mars 2026, concernant Heritage Financial Corporation, une institution bancaire américaine. L’incident a été détecté le 2 mars 2026. 🔍 Nature de l’incident L’entreprise a identifié un accès non autorisé à un serveur de partage de fichiers interne utilisé par ses employés, accompagné d’une exfiltration de fichiers susceptibles de contenir des informations personnelles. 🛡️ Réponse à l’incident Suite à la détection, les actions suivantes ont été engagées : ...

🏢 Contexte Source : Netzwoche.ch, publié le 25 mars 2026. L’entreprise d’ingénierie INP Schweiz, dont le siège est à Turgi (canton d’Argovie, Suisse), a communiqué publiquement sur un cyberincident survenu dans la nuit du 25 au 26 février 2026. 🔍 Déroulement de l’incident L’incident a été détecté le matin du 26 février 2026. En réponse immédiate, les systèmes ont été déconnectés du réseau à titre préventif. La restauration a été effectuée en collaboration avec des partenaires externes en sécurité informatique. Depuis le 28 février 2026, l’entreprise est de nouveau pleinement opérationnelle. L’incident n’a pas eu d’impact significatif sur les activités opérationnelles. 📤 Exfiltration de données Selon l’état actuel des connaissances, des données ont été exfiltrées lors de l’attaque. L’entreprise précise cependant que ces données ne comprennent pas de données sensibles clients, financières ou de ressources humaines. Un usage abusif des informations dérobées ne peut toutefois pas être exclu. ...

🎯 Contexte Publié le 26 mars 2026 par SecurityWeek, cet article rapporte une revendication du groupe d’extorsion Lapsus$ concernant une intrusion chez AstraZeneca, géant pharmaceutique mondial. L’information est relayée par la firme de cybersécurité SocRadar. 🔓 Nature de l’incident Lapsus$ affirme avoir exfiltré plusieurs catégories de données sensibles appartenant à AstraZeneca : Code source applicatif Java : controllers, repositories, services, schedulers, fichiers de configuration, ressources Spring Boot Packages Angular et Python Informations d’infrastructure cloud : AWS, Azure, Terraform Credentials et secrets divers Informations GitHub Enterprise : rôles, détails de comptes utilisateurs Adresses email corporatives Données employés Chemins de projet liés à des assets de développement interne 🏗️ Infrastructure et technologies exposées Les données revendiquées couvrent des environnements multi-cloud (AWS, Azure) et des outils d’infrastructure-as-code (Terraform), ainsi que des dépôts de code internes, ce qui représente un risque significatif pour la chaîne de développement logiciel d’AstraZeneca. ...

Selon The Cyber Express, la Chine a sollicité du Costa Rica des éléments probants concernant la cyberattaque visant ICE, laquelle est liée au groupe UNC2814. Cyberattaque contre l’institut électrique du Costa Rica : tensions diplomatiques avec la Chine Résumé Les relations entre la Chine et le Costa Rica se sont tendues après une cyberattaque visant l’infrastructure informatique de l’Instituto Costarricense de Electricidad (ICE), l’opérateur public d’électricité et de télécommunications du pays. ...

Source: Huntress — Dans une analyse technique, Huntress SOC décrit des incidents survenus en février 2026 mettant en lumière l’exfiltration de données avec Restic (renommé en winupdate.exe), la désactivation d’outils de sécurité, puis le déploiement du ransomware INC. Le 25 février 2026, après un accès initial la veille, le threat actor a mappé un partage réseau (F:), utilisé PsExec pour s’élever en privilèges, puis créé une tâche planifiée « Recovery Diagnostics » exécutant un script PowerShell. Des commandes PowerShell encodées en base64 ont défini des variables d’environnement (AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY, RESTIC_REPOSITORY vers Wasabi S3, RESTIC_PASSWORD en clair « password ») avant d’appeler c:\windows\system32\winupdate.exe, qui est en réalité restic.exe renommé. Une commande suivante a lancé « backup –files-from C:\Users\Public\Documents\new.txt », suggérant l’utilisation d’une liste de fichiers, nécessitant vraisemblablement une connaissance préalable de l’environnement. ...

Selon Swisscybersecurity.net, l’éditeur suisse de logiciels métiers Soreco (Schwerzenbach, Zurich) confirme à Inside-IT avoir été victime d’un ransomware, tout en affirmant un impact minimal sur ses opérations et en refusant de céder aux demandes de rançon. Sur le Dark Web, le groupe nommé Bravox revendique l’attaque et affirme avoir exfiltré 118,2 Go de données (source: Ransomware.live). D’après le portail de sécurité SOCradar, cette cybercriminalité est apparue pour la première fois en janvier 2026, compte peu de victimes à date et agirait principalement pour des motifs financiers. ...

Source: : kaspersky.fr — article signé par Stan Kaminsky (27 fév. 2026). L’auteur analyse les menaces posées par OpenClaw (ex‑Clawdbot/Moltbot), un agent d’IA open source local se branchant à WhatsApp, Telegram, Signal, Discord et Slack, doté d’un accès étendu (fichiers, email, calendrier, navigateur, shell) et orchestré via une passerelle. Devenu viral dès janvier 2026, le projet a connu une vague de problèmes de sécurité (failles critiques, « skills » malveillantes, fuites de secrets via Moltbook), un conflit de marque avec Anthropic et même le détournement de son compte X pour des arnaques crypto. Le tout recoupe les risques de l’OWASP Top 10 for Agentic Applications. ...

Source: RFI — RFI rapporte qu’Air Côte d’Ivoire a subi une cyberattaque détectée dans la nuit du dimanche 8 février et révélée le vendredi 20 février, impliquant une extraction illégale de données sensibles et un possible chiffrement de fichiers. 🔐 Type d’attaque: ransomware avec double extorsion. 🗂️ Impact: extraction illégale de données sensibles; des fichiers copiés puis potentiellement chiffrés rendant leur accès impossible. 🧑‍✈️ Données concernées: contenu non précisé; l’article évoque qu’il pourrait s’agir d’informations de passagers, de données de salariés et de documents internes. ✈️ Opérations: programme de vols maintenu; pas de perturbation du trafic aérien signalée. 🕒 Chronologie: incident la nuit du 8 février; révélé le 20 février. Groupe et mode opératoire ...

Source: LayerX — Publication de recherche détaillant une campagne d’extensions Chrome malveillantes se faisant passer pour des assistants IA grand public et des outils Gmail. 🚨 Des chercheurs de LayerX ont mis au jour une campagne coordonnée impliquant 30 extensions Chrome (dont certaines « Featured » sur le Chrome Web Store) usurpant Claude, ChatGPT, Gemini, Grok et divers outils « AI Gmail ». Ces extensions partagent le même code, les mêmes permissions et la même infrastructure backend (tapnetic[.]pro), totalisant 260 000+ installations. Leur architecture délègue les fonctions clés à des iframes distantes contrôlées côté serveur, permettant de modifier le comportement sans mise à jour du Store. ...

Selon Accenture Cybersecurity, WorldLeaks — issu du rebranding de Hunters International en 2025 — a adopté une stratégie d’extorsion centrée sur la fuite de données plutôt que le chiffrement ransomware, s’appuyant sur un outil personnalisé d’exfiltration/proxy nommé RustyRocket. Contexte et menace. WorldLeaks se concentre sur le vol de données sensibles et la menace de publication pour extorquer, ciblant divers secteurs avec un accent sur l’Amérique du Nord. Cette approche contourne l’efficacité croissante des sauvegardes et outils de déchiffrement : une fois les données exfiltrées, il n’existe aucune remédiation technique équivalente. ...