IOC

🗓️ Contexte Source : The Record Media, publié le 21 mars 2026. L’article rapporte une attaque ransomware ayant ciblé la ville de Foster City, une municipalité de la région de la Baie de San Francisco (Californie) comptant environ 34 000 habitants. 🔐 Nature de l’incident La ville a subi une violation de sécurité informatique qualifiée de ransomware. Les attaquants auraient potentiellement obtenu des informations publiques concernant des personnes ayant eu des interactions avec la ville. ...

Team Cymru a découvert un répertoire ouvert sur un serveur Beast Ransomware exposant l’intégralité de la chaîne d’attaque des opérateurs, de la reconnaissance à l’exfiltration. 🔍 Contexte En mars 2026, Team Cymru a publié une analyse technique détaillée d’un serveur appartenant aux opérateurs du ransomware Beast, découvert via leur système de collecte NetFlow et Open Ports. L’adresse IP 5.78.84.144 hébergée chez Hetzner (AS212317) exposait un répertoire ouvert sur le port 8000 contenant l’ensemble de la boîte à outils des attaquants. ...

🔍 Contexte Publié le 21 mars 2026 sur SecurityAffairs, cet article synthétise les alertes d’Apple et les recherches de Google GTIG et Lookout Threat Labs concernant deux kits d’exploitation iOS actifs : Coruna (alias CryptoWaters) et DarkSword. 🧰 Kit Coruna (alias CryptoWaters) Identifié initialement en février 2025 par Google GTIG, Coruna cible les iPhones sous iOS 13.0 à 17.2.1. Il comprend 5 chaînes d’exploitation complètes et 23 exploits individuels couvrant : ...

Amazon Threat Intelligence a découvert qu’Interlock ransomware exploitait CVE-2026-20131 dans Cisco Secure Firewall Management Center comme zero-day depuis le 26 janvier 2026, soit 36 jours avant la divulgation publique. 🔍 Contexte Le 21 mars 2026, Amazon Threat Intelligence a publié sur le blog de sécurité AWS une analyse technique détaillée d’une campagne active du groupe Interlock ransomware exploitant CVE-2026-20131, une vulnérabilité critique dans Cisco Secure Firewall Management Center (FMC) Software. ...

🌐 Contexte Le 21 mars 2026, The Cyber Express rapporte que le Département de Justice américain (DOJ) a procédé à la saisie de quatre domaines liés à des opérations cyber-psychologiques attribuées au ministère iranien du Renseignement et de la Sécurité (MOIS). 🎯 Domaines saisis Les quatre domaines suivants ont été mis hors ligne : Justicehomeland[.]org Handala-Hack[.]to Karmabelow80[.]org Handala-Redwanted[.]to Ces domaines partageaient une infrastructure commune, notamment des plages d’IP iraniennes et des plateformes de fuite de données. ...

🔍 Contexte Source : BleepingComputer — Publication le 21 mars 2026. Cet article rapporte la saisie par le FBI des domaines clearnet associés au groupe hacktiviste Handala, dans le cadre d’une opération judiciaire liée à une cyberattaque contre Stryker. 🌐 Domaines saisis Les deux domaines suivants affichent désormais un avis de saisie : handala-redwanted[.]to handala-hack[.]to Ces domaines ont été saisis en vertu d’un mandat de saisie délivré par le District Court for the District of Maryland. ...

Le groupe ransomware LeakNet ajoute ClickFix via des sites légitimes compromis et un loader Deno en mémoire comme nouvelles méthodes d’accès initial, tout en conservant une chaîne post-exploitation identique. 🔍 Contexte Publié le 21 mars 2026 par ReliaQuest (auteurs : Joseph Keyes et Daxton Wirth), ce rapport de threat intelligence analyse les évolutions tactiques du groupe ransomware LeakNet, qui intensifie ses opérations en adoptant de nouvelles méthodes d’accès initial. 🎯 Nouvelles méthodes d’accès initial LeakNet a ajouté deux nouvelles techniques à son arsenal : ...

Le groupe iranien MuddyWater a mené en février-mars 2026 une campagne d’espionnage ciblée utilisant deux nouveaux malwares, Dindoor et Fakeset, contre des organisations financières, aéroportuaires et de défense aux États-Unis, en Israël et au Canada. 🌐 Contexte Rapport publié le 20 mars 2026 par Krypt3ia, analysant une campagne d’intrusion conduite entre février et mars 2026 par le groupe iranien MuddyWater (aussi connu sous les alias Seedworm, MERCURY, Static Kitten, MOIST KEYCHAIN, Mango Sandstorm), aligné avec le Ministère du Renseignement et de la Sécurité iranien (MOIS). ...

📰 Contexte Le 13 mars 2026, Navia Benefit Solutions, Inc. a publié un avis officiel de violation de données via PR Newswire, informant ses clients et les personnes concernées d’un incident de sécurité découvert le 23 janvier 2026. 🔍 Déroulement de l’incident Un acteur non autorisé a accédé à l’environnement de Navia et potentiellement exfiltré des données sur une période allant du 22 décembre 2025 au 15 janvier 2026. La découverte de l’activité suspecte a eu lieu le 23 janvier 2026, soit environ 8 jours après la fin de l’accès non autorisé. ...

🔐 Correctif d’urgence Oracle – CVE-2026-21992 Source : BleepingComputer | Date de publication : 21 mars 2026 Oracle a publié une mise à jour de sécurité hors-bande (out-of-band), en dehors de son cycle habituel de correctifs trimestriels, pour adresser une vulnérabilité critique affectant deux de ses produits. 🎯 Produits affectés Oracle Identity Manager Oracle Web Services Manager 🚨 Nature de la vulnérabilité La faille, référencée CVE-2026-21992, est classifiée comme une vulnérabilité d’exécution de code à distance (RCE) non authentifiée, ce qui signifie qu’un attaquant peut l’exploiter sans disposer d’identifiants valides sur le système cible. La criticité de cette faille justifie la publication d’un correctif d’urgence en dehors du calendrier standard. ...