Extorsion

Source : Reuters — Contexte : Qantas a indiqué être « l’une de plusieurs entreprises » dont des données clients volées lors de la cyberattaque de juillet ont été publiées par des cybercriminels. Cet incident est présenté comme l’un des plus marquants en Australie depuis les attaques contre Optus et Medibank en 2022, qui avaient entraîné des lois obligatoires de résilience cyber. 🔓 Impact déclaré par Qantas : plus d’un million de clients ont vu des informations sensibles telles que numéros de téléphone, dates de naissance, adresses consultées. Quatre millions d’autres clients ont eu nom et adresse e‑mail dérobés. ...

Selon The Verge, Discord précise qu’environ 70 000 utilisateurs sont potentiellement concernés par l’exposition de photos de pièces d’identité à la suite d’un incident touchant un prestataire tiers de support client. Cette mise à jour intervient après des affirmations en ligne et une tentative d’extorsion visant l’entreprise. Discord insiste sur le fait qu’il ne s’agit pas d’une compromission de ses propres systèmes, mais d’un incident chez un prestataire tiers de service client. Les photos d’ID gouvernementales exposées concerneraient des vérifications liées aux appels d’âge. Dans une communication précédente, l’entreprise indiquait que des données telles que noms, identifiants, adresses e‑mail, quatre derniers chiffres de cartes bancaires et adresses IP pouvaient également être affectées. ...

Source: Mandiant et Google Threat Intelligence Group. Contexte: une campagne d’extorsion à large échelle, opérée sous la marque CL0P, a exploité une vulnérabilité zero‑day dans Oracle E‑Business Suite (EBS) pour voler des données clients. Oracle a publié un correctif le 4 octobre pour CVE‑2025‑61882, tandis que Mandiant/GTIG documentent plusieurs chaînes d’exploit distinctes visant EBS. — Chronologie et portée — • Activités d’exploitation probables dès juillet 2025, avant la campagne d’extorsion récente. • Oracle publie le 4 octobre un patch référencé CVE‑2025‑61882. Mandiant/GTIG estiment que les serveurs EBS mis à jour via ce correctif ne sont probablement plus vulnérables aux chaînes d’exploit connues. • L’attribution précise des vulnérabilités aux chaînes d’exploit reste incertaine. ...

Sophos publie son rapport annuel « State of Ransomware in Healthcare 2025 », basé sur une enquête auprès de 292 organisations de santé, mettant en lumière des évolutions marquantes des tactiques et impacts des attaquants. – Principaux constats: le chiffrement de données ne survient plus que dans 34% des attaques (contre 74% en 2024), tandis que les attaques d’extorsion sans chiffrement montent à 12% (contre 4% en 2022). Les vulnérabilités exploitées deviennent la première cause technique des intrusions (33%), supplantant les attaques basées sur des identifiants compromis. 🔓 ...

Selon Rapid7, un nouveau groupe de menace baptisé « Crimson Collective » intensifie ses attaques contre des environnements cloud AWS, avec deux cas observés en septembre. — Le groupe débute ses intrusions en compromettant des clés d’accès à long terme AWS et en exploitant les privilèges IAM associés. Une fois l’accès obtenu, il crée de nouveaux utilisateurs et élève les privilèges en attachant des politiques supplémentaires. — Après compromission, Crimson Collective mène de la reconnaissance pour identifier des données de valeur, puis exfiltre ces informations en s’appuyant sur des services AWS. En cas de succès, les victimes reçoivent une note d’extorsion. ...

Selon Le Monde (publié le 08.10.2025, citant la BBC), deux personnes ont été interpellées au Royaume‑Uni dans le cadre de l’enquête sur le piratage de plusieurs crèches privées gérées par Kido. • Les arrestations concernent un jeune homme de 22 ans et un adolescent de 17 ans, appréhendés dans la même petite ville, Bishop’s Stortford, au nord de Londres. Les autorités n’ont pas communiqué de détails supplémentaires sur leur rôle présumé. La police londonienne évoque une « avancée significative » tout en poursuivant l’enquête. 🧑‍⚖️ ...

Selon Salesforce (status.salesforce.com), l’éditeur a publié un avis de sécurité au sujet de tentatives d’extorsion par des acteurs malveillants, tout en affirmant n’avoir identifié aucune compromission de sa plateforme ni lien avec une vulnérabilité connue. Salesforce indique avoir enquêté sur ces tentatives en partenariat avec des experts externes et les autorités. Les éléments recueillis suggèrent que ces extorsions se rattachent à des incidents passés ou non étayés. L’entreprise précise être en contact avec les clients concernés pour leur apporter un soutien dédié et qu’il n’existe, à ce stade, aucune indication de compromission de la plateforme Salesforce. ...

Selon discord.com (3 octobre 2025), Discord a révélé qu’un acteur non autorisé a compromis un prestataire tiers de support client, permettant un accès à des données d’un nombre limité d’utilisateurs en vue d’une extorsion financière. L’incident résulte d’une compromission d’un prestataire tiers (accès indirect), sans accès direct à l’infrastructure Discord. L’impact concerne uniquement les utilisateurs ayant interagi avec le Customer Support ou Trust & Safety. Aucune activité ou message sur Discord n’a été consulté au‑delà des échanges tenus avec les agents de support. ⚠️ ...

Selon Arctic Wolf, Oracle a indiqué que des clients E‑Business Suite reçoivent des emails d’extorsion après exploitation de neuf vulnérabilités corrigées dans le Critical Patch Update de juillet 2025. Les vulnérabilités concernent plusieurs produits et composants d’Oracle E‑Business Suite, notamment Oracle Lease and Finance Management, Mobile Field Service, Universal Work Queue, ainsi que les composants Applications Framework, CRM Technical Foundation, iStore et Universal Work Queue. Neuf CVE sont listées: CVE-2025-30743, CVE-2025-30744, CVE-2025-50105, CVE-2025-50071, CVE-2025-30746, CVE-2025-30745, CVE-2025-50107, CVE-2025-30739, CVE-2025-50090. ...

Source: Daily Dark Web (dailydarkweb.net), 3 octobre 2025. Contexte: une nouvelle alliance de cybercriminels — regroupant ShinyHunters, Scattered Spider et LAPSUS$ — a mis en ligne un site d’extorsion visant Salesforce, avec une menace de divulguer près d’un milliard d’enregistrements si une rançon n’est pas payée avant le 10 octobre 2025. L’article décrit une campagne coordonnée mi-2025 contre des clients de Salesforce qui n’exploite pas de faille du cœur de la plateforme, mais repose sur de la social engineering avancée, notamment du vishing (usurpation d’équipes IT/Help Desk par téléphone) pour faire approuver des applications tierces malveillantes dans les environnements Salesforce des victimes. ...