Extorsion

Selon BleepingComputer (Lawrence Abrams), un groupe d’extorsion nommé « Crimson Collective » revendique l’intrusion dans les dépôts GitHub privés de Red Hat et le vol d’environ 570 Go de données compressées couvrant 28 000 projets internes. Red Hat confirme un incident de sécurité lié à son activité de consulting, tout en indiquant n’avoir « aucune raison de croire » que ses autres services ou produits sont affectés et se dire « très confiant » dans l’intégrité de sa chaîne d’approvisionnement logicielle. ...

Selon BleepingComputer, un groupe d’extorsion a mis en ligne un nouveau site de fuites destiné à exercer une pression publique sur des dizaines d’entreprises affectées par une vague de brèches liées à Salesforce. Un groupe d’extorsion connu sous le nom de Scattered Lapsus$ Hunters, qui regroupe des membres des groupes ShinyHunters, Scattered Spider et Lapsus$, a lancé un nouveau site de fuite de données pour extorquer publiquement des dizaines d’entreprises victimes d’attaques sur leurs instances Salesforce. Le site contient des échantillons de données volées à 39 entreprises célèbres telles que FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, McDonald’s, Adidas ou encore IKEA. ...

Selon BleepingComputer, Mandiant et Google suivent une nouvelle campagne d’extorsion visant plusieurs entreprises, au cours de laquelle des dirigeants reçoivent des emails prétendant que des données sensibles ont été dérobées depuis leurs systèmes Oracle E‑Business Suite. — Points clés — Type d’attaque: campagne d’extorsion 🧨 via emails envoyés aux dirigeants. Impact allégué: vol de données sensibles. Produits concernés: Oracle E‑Business Suite. Envergure: plusieurs entreprises seraient visées. Mandiant et Google indiquent suivre l’activité de cette campagne, caractérisée par des messages adressés à des cadres pour exercer une pression autour d’une compromission revendiquée des systèmes Oracle E‑Business Suite. ...

BBC News publie le récit de Joe Tidy, journaliste cybersécurité, qui explique avoir été démarché par un individu se présentant comme « Syndicate » sur l’application chiffrée Signal pour faciliter une menace interne (insider) visant la BBC. Selon Tidy, l’interlocuteur a d’abord offert 15 % d’une éventuelle rançon s’il fournissait ses identifiants et son code de sécurité, permettant au groupe d’entrer dans les systèmes de la BBC, de voler des données ou d’installer un logiciel malveillant, puis d’extorquer l’entreprise en bitcoin. L’offre est ensuite montée à 25 % de la « négociation finale », le groupe affirmant pouvoir réclamer environ 1 % du chiffre d’affaires de la BBC, évoquant un montant potentiel de dizaines de millions. ...

Source: The Cyber Express — Dans une annonce relayée par le DoJ américain, les autorités britanniques ont arrêté Thalha Jubair (19 ans) le 16 septembre, dans une affaire liée à de multiples intrusions et extorsions informatiques visant des organisations, dont des entités américaines. 🚓 Le DoJ détaille des chefs d’inculpation pour « conspirations de fraude informatique, fraude électronique et blanchiment d’argent ». Selon la plainte, de mai 2022 à septembre 2025, Jubair et ses associés auraient mené environ 120 intrusions réseau, visant au moins 47 entités américaines, avec des paiements de rançon d’au moins 115 M$. ...

Selon The Record (Recorded Future News), le FBI a publié un avis flash décrivant une campagne de vol de données et d’extorsion visant des centaines d’organisations, attribuée à Scattered Spider (UNC6395) et ShinyHunters (UNC6040), après compromission d’instances Salesforce. Depuis octobre 2024, les acteurs ont utilisé de l’ingénierie sociale en se faisant passer pour des employés IT auprès des centres d’appels afin d’obtenir des identifiants, puis accéder aux données clients dans Salesforce. Dans d’autres cas, des phishings (emails/SMS) ont permis de prendre le contrôle de téléphones ou ordinateurs d’employés. ...

Source: FBI (FLASH-20250912-001), coordonné avec DHS/CISA; TLP:CLEAR. Contexte: alerte du 12 septembre 2025 détaillant des campagnes de vol de données et d’extorsion ciblant les plateformes Salesforce par les groupes UNC6040 et UNC6395. – Aperçu général Les groupes criminels UNC6040 et UNC6395 mènent des intrusions contre des instances Salesforce par des mécanismes d’accès initiaux distincts. Les actions observées incluent le vol massif de données via API, l’autorisation frauduleuse d’applications connectées (OAuth) et des demandes d’extorsion (notamment associées à « ShinyHunters » après les exfiltrations de UNC6040). L’alerte vise à maximiser la sensibilisation et fournit des IOCs et des mesures recommandées. 🚨 ...

Selon l’extrait d’actualité fourni, le préstataire IT suedois Miljödata a été victime d’une cyberattaque durant le week-end, avec pression financière (extorsion) exercée contre l’entreprise. 🇸🇪 L’impact potentiel inclut une fuite de données personnelles sensibles. L’éditeur est largement déployé, auprès de 80 % des communes suédoises. Entités signalées comme touchées à ce stade ⚠️: Region Gotland Region Halland Kalmar kommun Varber kommun Umeå kommun Luleå kommun Kiruna kommun Mönsterås kommun Karlstad kommun Skellefteå kommun L’incident est en cours et son ampleur reste incertaine à ce stade. L’article met l’accent sur la portée potentielle et les organisations affectées. ...

Selon Ars Technica, Google a divulgué que son instance Salesforce a été compromise en juin, deux mois après que Google lui‑même a alerté sur une campagne de masse visant les clients Salesforce par ingénierie sociale, menée par des acteurs financiers. Les attaquants ne passent pas par une faille logicielle mais par des appels téléphoniques 📞: ils se font passer pour l’IT du client et demandent de lier une application externe à l’instance Salesforce. Ils obtiennent de l’employé le code de sécurité à 8 chiffres requis par l’interface, qu’ils utilisent ensuite pour lier l’app et accéder à l’instance et aux données stockées. Cette méthode abuse d’une fonctionnalité de liaison d’apps tierces de Salesforce. ...

L’actualité provient de DigitalMint, une entreprise spécialisée dans la négociation avec les hackers et la facilitation des paiements en cryptomonnaie lors des attaques par ransomware. Selon une déclaration de Marc Jason Grens, président de DigitalMint, le ministère de la Justice des États-Unis enquête sur un ancien employé de l’entreprise. Cet employé est accusé d’avoir passé des accords avec des hackers pour bénéficier des paiements d’extorsion, ce qui soulève des préoccupations éthiques et légales. ...