Réponse À Incident

Source: Huntress — Dans un billet technique, Huntress détaille une enquête d’incident Qilin avec télémétrie minimale, reconstruite grâce à des artefacts Windows pour retracer l’attaque du premier accès jusqu’au chiffrement. Les analystes ont travaillé sans EDR, SIEM ni canaris ransomware, s’appuyant sur des journaux d’événements Windows, AmCache et les journaux Program Compatibility Assistant (PCA). Ils ont identifié l’installation d’un RMM ScreenConnect non autorisé, des transferts de fichiers suspects (r.ps1, s.exe, ss.exe) et une progression de l’attaque allant de l’accès RDP à l’exécution du ransomware. 🧭 ...

Selon une communication de Jewett‑Cameron Trading Co. Ltd., l’entreprise a indiqué qu’un acteur malveillant a accédé sans autorisation à une partie de son environnement IT le 15 octobre 2025 et a revendiqué l’accès à certaines informations et données de l’entreprise. L’enquête interne, assistée par des experts externes, a établi à ce stade que l’incident a consisté en un accès non autorisé et le déploiement de logiciels de chiffrement et de surveillance par un tiers sur une portion des systèmes IT internes de l’entreprise 🔐. ...

Selon une communication de Yunex Traffic, l’entreprise a récemment pris des mesures pour gérer un accès non autorisé à des parties limitées de ses systèmes IT internes dédiés au développement de produits. L’organisation indique avoir immédiatement mis en œuvre des mesures de sécurisation 🔒 et lancé une enquête approfondie avec l’appui de spécialistes externes du secteur afin de comprendre ce qui s’est passé. Yunex Traffic précise que ses systèmes et ses services clients ont toujours été et demeurent pleinement opérationnels ✅. ...

Selon Sucuri (blog), une enquête d’incident détaille comment une fonctionnalité apparemment anodine d’un formulaire de contact (« S’envoyer une copie ») a été détournée pour envoyer 149 700 spams, entraînant une saturation des services de messagerie du serveur. • Constat initial 🚨: forte utilisation CPU liée aux processus dovecot/LMTP et présence de 149 700 emails dans la file d’attente Exim. Les en-têtes d’email indiquaient une origine localhost (127.0.0.1) avec authentification d’utilisateur local. ...

Selon une communication de Kearney Public Schools, le réseau technologique du district a été compromis par une cyberattaque vendredi dernier. Depuis, l’équipe informatique de KPS, en coordination avec des experts externes, travaille à identifier la source de l’attaque et à restaurer les systèmes. ⚠️ La récupération est toujours en cours et ne sera pas achevée avant le début des cours lundi. En conséquence, les téléphones 📞, les ordinateurs 💻 et d’autres systèmes dépendants du réseau seront indisponibles. ...

Selon une communication de Discord, un acteur non autorisé a compromis un prestataire tiers de service client, affectant des utilisateurs ayant interagi avec les équipes Support et Trust & Safety. L’incident implique la compromission d’un fournisseur tiers de service client. À la suite de cette intrusion, l’acteur non autorisé a accédé à des informations concernant un nombre limité d’utilisateurs ayant contacté Discord via le Support Client et/ou l’équipe Trust & Safety. ...

Selon un communiqué officiel de la Ville de Waxhaw, des « irregularities » ont été détectées tôt le vendredi 12 septembre 2025, indiquant une cyberattaque. Le service IT a pris des mesures immédiates pour protéger l’organisation. 🛡️ L’équipe IT a rapidement sollicité la North Carolina Joint Cybersecurity Task Force afin de lancer une enquête forensique et sécuriser les serveurs. Les entités mobilisées au sein de cette task force incluent : NC National Guard NCLGISA Cybersecurity Strike Team NC Emergency Management NC Department of IT L’annonce met l’accent sur l’intervention rapide et la coordination avec des experts externes pour contenir la menace et mener l’analyse 🕵️‍♂️. Aucun autre détail technique ou opérationnel n’est fourni dans cet extrait. ...

Selon Cisco Talos Incident Response (Talos IR), dans une rétrospective couvrant janvier 2023 à juin 2025, l’équipe a analysé de nombreuses interventions classées comme incidents pré‑ransomware pour identifier ce qui a permis d’empêcher le déploiement effectif de ransomware. Principaux enseignements ⏱️🛡️ Engagement rapide avec l’équipe de réponse à incident (IR). Actionnement rapide des alertes issues des solutions de sécurité, majoritairement dans les deux heures suivant l’alerte. Talos IR a également classifié près de deux douzaines d’indicateurs pré‑ransomware observés. Les tactiques les plus fréquentes relevées offrent un aperçu des activités malveillantes qui précèdent souvent une attaque plus sévère. ...

La Ville de Greenville en Texas a signalé avoir identifié le 5 août 2025 un incident cyber affectant certains systèmes technologiques municipaux. 🛡️ Mesures immédiates: la Ville a mis en place des mesures de protection, isolé les systèmes touchés lorsque nécessaire, contacté les forces de l’ordre et retenu un prestataire tiers en cybersécurité pour contenir l’événement et restaurer les services. 📂 Impact constaté: l’enquête en cours indique que certains fichiers internes ont été impactés. À ce stade, il n’y a aucune preuve d’impact sur des informations personnelles appartenant aux employés ou aux citoyens. ...

Selon une communication officielle de Data I/O Corporation, l’entreprise a été victime d’un ransomware le 16 août 2025 touchant certains de ses systèmes informatiques internes. 🚨 Impact opérationnel: L’Incident a temporairement perturbé les opérations de la société, notamment les communications internes/externes, le shipping, le receiving, la manufacturing production, ainsi que diverses fonctions de support. La restauration de certains services a commencé, mais le délai pour un rétablissement complet n’est pas encore connu. ...