Archives par mot-clé : cyberattaque

Cybersécurité, Justice, Securite informatique

Phobos : le développeur clé plaide coupable aux États-Unis

Un développeur russe lié au ransomware Phobos reconnaît sa responsabilité devant la justice américaine. L’affaire révèle l’organisation interne d’un réseau criminel actif depuis plusieurs années.

Un ressortissant russe de 43 ans a plaidé coupable aux États-Unis pour son rôle central dans le ransomware Phobos. Considéré comme l’un des principaux développeurs de cette plateforme criminelle, Evgenii Ptitsyn risque jusqu’à 20 ans de prison. Les enquêteurs estiment que Phobos et sa variante 8Base ont extorqué plus de 16 million $ (14,7 millions d’euros) depuis 2019 auprès d’organisations du monde entier. L’affaire met en lumière le modèle industriel du ransomware-as-a-service, dans lequel des développeurs fournissent l’outil à des affiliés chargés de mener les attaques contre des entreprises, des établissements de santé et des institutions publiques.

Un développeur clé du ransomware Phobos face à la justice

L’un des cerveaux techniques associés au ransomware Phobos a reconnu sa culpabilité devant la justice américaine. Evgenii Ptitsyn, citoyen russe âgé de 43 ans, a admis des faits de fraude électronique mercredi devant un tribunal fédéral. Les procureurs des États-Unis le présentent comme un acteur majeur de ce réseau de cyberextorsion.

Selon l’acte d’accusation, Ptitsyn a contribué au fonctionnement du ransomware à partir de novembre 2020. Le logiciel malveillant a ensuite été utilisé pour viser plus de 1 000 organisations à travers le monde. L’enquête judiciaire décrit un dispositif structuré, mêlant développement technique, diffusion sur des forums criminels et exploitation d’un site sur le darknet destiné à exposer ou vendre les données volées.

L’homme a été arrêté en Corée du Sud avant d’être remis aux autorités américaines en novembre 2024. Sa condamnation doit être prononcée le 15 juillet. La peine maximale encourue atteint 20 ans de prison.

Les procureurs affirment que Ptitsyn occupait une position centrale dans l’écosystème Phobos. Il développait et maintenait le ransomware, puis le distribuait à des affiliés du réseau. Ces partenaires menaient les intrusions informatiques, chiffraient les systèmes des victimes et exigeaient ensuite une rançon. Une commission revenait aux opérateurs techniques pour chaque paiement obtenu.

Les investigations ont également relié Ptitsyn à plusieurs attaques précises. Parmi elles figure une intrusion contre un système scolaire public en Californie. L’établissement a payé une rançon de 300 000 $ (276 500 euros) en 2023 pour récupérer l’accès à ses données. D’autres opérations ont visé des organisations du secteur médical ainsi que plusieurs entreprises.

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.

YouTube
WhatsApp
Google News
Autres

S’abonner à la NewsLetter

Un réseau international démantelé progressivement

Les poursuites contre Ptitsyn s’inscrivent dans une série d’actions menées contre les groupes liés au ransomware Phobos et à sa variante 8Base. Les autorités américaines estiment que ces réseaux ont extorqué plus de 16 million $ (14,7 millions d’euros) depuis 2019.

Au cours des deux dernières années, plusieurs membres ou associés ont été arrêtés dans différentes juridictions. Un administrateur de Phobos a été interpellé en Corée du Sud en juin 2024 avant d’être extradé vers les États-Unis. En 2023, un autre acteur important a été arrêté en Italie sur la base d’un mandat d’arrêt français.

Plus récemment, une opération internationale coordonnée a visé le groupe 8Base, considéré comme un utilisateur majeur de l’infrastructure Phobos. Quatre individus soupçonnés de diriger cette organisation ont été arrêtés. Les enquêteurs les accusent d’avoir exploité une variante du ransomware pour extorquer des victimes en Europe et dans d’autres régions.

Cette opération a également conduit au démantèlement de 27 serveurs liés au réseau criminel. Les services de police ont pu prévenir plus de 400 entreprises d’attaques de ransomware en cours ou imminentes.

L’enquête a mobilisé les forces de l’ordre de 14 pays, avec le soutien d’Europol et d’Eurojust. Le Centre européen de lutte contre la cybercriminalité d’Europol a assuré un rôle de coordination entre les différentes investigations. Les analystes ont notamment partagé des renseignements, réalisé des analyses techniques et facilité les échanges entre les équipes nationales.

Près de 600 messages opérationnels ont été échangés via le réseau sécurisé SIENA, tandis que 37 réunions opérationnelles et sprints techniques ont été organisés pour faire progresser les investigations.

Repéré pour la première fois en décembre 2018, Phobos constitue l’un des ransomwares les plus persistants du paysage cybercriminel. Son succès repose sur un modèle de ransomware-as-a-service qui permet à de nombreux acteurs, même peu expérimentés, de lancer leurs propres campagnes d’extorsion.

Les services de renseignement spécialisés dans la cybersécurité considèrent aujourd’hui Phobos et 8Base parmi les groupes de ransomware les plus actifs en 2024.

L’affaire Ptitsyn illustre la stratégie des autorités consistant à cibler les développeurs et les infrastructures techniques afin d’affaiblir durablement les réseaux de cyberextorsion.

La traque judiciaire et technique des opérateurs de ransomware reste désormais un enjeu central pour le renseignement cyber international.

Communiqué de presse, Cybersécurité, Entreprise

Les Émirats bloquent une offensive cyber dite terroriste

En pleine montée des usages numériques du Ramadan, les Émirats arabes unis disent avoir stoppé une campagne coordonnée mêlant infiltration, rançongiciels et hameçonnage, avant toute rupture de services essentiels.

Le Conseil de cybersécurité des Émirats arabes unis a annoncé samedi que les défenses nationales ont déjoué des cyberattaques terroristes organisées visant l’infrastructure numérique et des secteurs vitaux. Selon l’autorité, la campagne combinait intrusion réseau, déploiement de rançongiciels et hameçonnage systématique contre des plateformes nationales. Le Conseil met en avant un tournant tactique, avec l’usage d’outils offensifs dopés à l’intelligence artificielle.

Un récit de riposte, peu de traces exploitables

les Émirats arabes unis veulent peser dans le monde de la cybersécurité. Depuis quelques années, petit à petit, ils montent en puissance. Le communiqué que vient de diffuser le CERT UEA pose un décor de crise, une attaque pensée pour déstabiliser et perturber des services essentiels, mais laisse le lecteur face à une zone grise. Le Conseil de cybersécurité décrit une opération coordonnée, avec trois briques classiques d’une campagne moderne, l’accès initial par infiltration, la pression par rançongiciel, l’industrialisation du leurre par hameçonnage. L’élément mis en avant est l’intelligence artificielle, présentée comme un accélérateur de sophistication, et comme la preuve que des organisations extrémistes s’approprient des technologies autrefois réservées à des États ou à des réseaux cybercriminels structurés.

Dans ce type d’annonce, la formulation compte autant que le contenu. Qualifier l’attaque d’« acte terroriste » rehausse le niveau politique du signal, surtout lorsqu’aucun groupe n’est nommé. Le Conseil ne précise ni secteurs touchés, ni fenêtre temporelle, ni méthode de détection, ni vecteur d’entrée, ni infrastructure réellement ciblée. Cette absence verrouille l’analyse, impossible de distinguer une action d’un groupe idéologique, un montage de faux drapeau, ou un opportunisme criminel profitant d’un contexte régional tendu. Elle empêche aussi de relier les faits à une famille de rançongiciels, à une chaîne d’hameçonnage, ou à un mode opératoire récurrent.

Le Conseil insiste, en revanche, sur la mécanique défensive, surveillance continue, blocage précoce, coopération entre fournisseurs, entités nationales et internationales, organisations spécialisées, appui sur des partenariats stratégiques et une expertise technique internationale. Derrière cette liste, un enjeu de renseignement affleure, réduire le temps entre le signal faible et la neutralisation, partager des indicateurs, couper les relais, et éviter qu’un incident technique ne se transforme en crise d’État. La priorité affichée, sécurité des personnes, protection des données personnelles, continuité des services critiques, vise autant à rassurer qu’à rappeler que la surface d’attaque d’un pays moderne est désormais indissociable de sa vie quotidienne.

 



News & Réseaux Sociaux ZATAZ

YouTube
WhatsApp
Google News
Autres
Chaque vendredi midi, recevez gratuitement les actualités de la semaine.

S’abonner à la NewsLetter ZATAZ

Ramadan, IA et pression psychologique sur les victimes

Le calendrier n’est pas neutre. L’annonce coïncide avec le début du Ramadan, période de hausse des dons et des transactions en ligne aux Émirats arabes unis et plus largement dans le monde musulman. Le Conseil appelle les résidents à redoubler de prudence, notamment lorsqu’il s’agit de dons, de partage d’informations personnelles, ou de mouvements financiers. C’est un rappel d’hygiène numérique, mais aussi une lecture de la menace, les attaquants aiment les pics saisonniers, car l’émotion et l’urgence accélèrent les clics, et réduisent la vérification.

Le texte élargit d’ailleurs le cadre, en rappelant que les périodes de célébrations religieuses sont des fenêtres propices à la fraude et à l’ingénierie sociale. Le Conseil avait déjà diffusé des recommandations sur la protection des données et la prévention de la fraude, en alertant sur le risque de vol d’identifiants et d’informations financières lorsque les paiements numériques augmentent. Dans cette logique, l’intelligence artificielle change l’échelle, elle permet de produire des messages crédibles, d’adapter les scénarios culturels, de tester rapidement des variantes, et de cibler plus finement, jusqu’à simuler un ton institutionnel ou caritatif.

L’arrière-plan régional est posé, les pays du Moyen-Orient feraient face à des attaques persistantes mêlant organisations terroristes, acteurs étatiques et cybercriminalité motivée par le profit. Les secteurs critiques cités comme à forte valeur, énergie, télécommunications, transports, services financiers, sont ceux où un incident peut créer des effets en cascade. Le Conseil souligne aussi une volumétrie déjà alarmante, « entre 90 000 et 200 000 tentatives d’intrusion ciblent chaque jour l’infrastructure des Émirats arabes unis ». La fourchette est large, mais le message est clair, l’attaque est devenue un bruit de fond permanent, automatisé, accessible, et donc plus difficile à contenir sans industrialiser la défense.

CTI • Service de veille ZATAZ
Vos données circulent peut-être déjà. Détecter. Prioriser. Corriger
  • Veille exposition / fuite / usurpation / Alertes et synthèses actionnables
  • Risque, impacts, recommandations

DÉCOUVRIR L’OUTIL CTI

Le pays met en avant des orientations de long terme, dont la cryptographie post-quantique et la coopération avec QuantumGate, plateforme nationale axée sur une cybersécurité résiliente aux attaques quantiques. Le Dr Mohammed Al Kuwaiti, responsable de la cybersécurité au sein du gouvernement des Émirats arabes unis, résume la doctrine, anticiper plutôt que subir.

Au final, l’annonce revendique une victoire défensive, mais elle laisse volontairement peu d’éléments vérifiables, signe que la bataille se joue aussi dans la maîtrise de l’information, autant que dans les journaux d’événements.

Cybersécurité, Justice, loi, Securite informatique

Les rançons échouent : 41 % des paiements de ransomware inutiles

Payer ne suffit plus : selon Hiscox, 41 % des entreprises victimes de ransomware restent paralysées malgré le versement d’une rançon et la réception d’une clé de déchiffrement.

Le rapport « Cyber Readiness Report 2025 » de l’assureur Hiscox révèle une réalité préoccupante : payer une rançon ne garantit pas la récupération des données. Sur 5 750 organisations interrogées dans sept pays, 27 % ont subi une attaque par ransomware, et 41 % des payeurs n’ont pas pu restaurer leurs systèmes malgré une clé reçue. Pire, 31 % des victimes ayant payé ont subi une nouvelle extorsion et 27 % d’entre elles ont été attaquées à nouveau. Les objets connectés (IoT) sont identifiés comme premier vecteur d’intrusion. En dépit de ce constat, 83 % des entreprises déclarent une meilleure cyber-résilience sur l’année écoulée.

Rançons inefficaces et attaques répétées

Le rapport montre que céder aux exigences des cybercriminels ne garantit pas le retour à la normale. Parmi les entreprises touchées, 60 % disent avoir récupéré une partie ou la totalité de leurs données, mais 41 % ont dû reconstruire leurs systèmes. Hiscox observe également une aggravation du phénomène : près d’un tiers des victimes ayant payé ont subi une nouvelle demande d’argent, souvent par les mêmes acteurs, et plus d’un quart ont connu une autre attaque dans les mois suivants. Le rapport conclut que « le paiement d’une rançon ne résout pas toujours le problème », rappelant la fragilité des stratégies de négociation directe avec les groupes de ransomware.

IoT, chaîne d’approvisionnement et cloud en première ligne

Les vulnérabilités des objets connectés constituent le principal point d’entrée des cyberattaques (33 %), devant celles liées à la chaîne d’approvisionnement (28 %) et aux serveurs hébergés dans le cloud (27 %). Les outils d’intelligence artificielle, utilisés sans protection suffisante, deviennent également un vecteur d’attaque initial pour 15 % des entreprises. Cette cartographie des risques confirme que l’interconnexion des systèmes multiplie les surfaces d’exposition. Les cybercriminels exploitent les failles de configuration ou de mise à jour pour obtenir un premier accès, avant de déployer des charges malveillantes chiffrant les données critiques.

Multiplication des incidents selon la taille de l’entreprise

Parmi les 5 750 organisations interrogées, 59 % ont subi au moins une cyberattaque au cours des douze derniers mois. Les grandes entreprises et celles générant plus d’un million de dollars (921 000 euros) de chiffre d’affaires sont les plus ciblées, avec une moyenne de six attaques par an, contre quatre pour les plus petites structures. Les sociétés de 50 à 249 employés enregistrent en moyenne sept incidents, contre cinq pour les structures comptant de 11 à 49 salariés. Le secteur non lucratif reste le plus exposé, avec huit attaques en moyenne par organisation, tandis que les entreprises des secteurs chimique, immobilier et médiatique signalent trois incidents par an.

Vers plus de transparence dans les paiements

Le rapport cite la nouvelle loi australienne imposant la divulgation des montants versés aux cybercriminels. Cette obligation recueille un soutien majoritaire : 71 % des répondants y sont favorables. Toutefois, 53 % estiment que les entreprises privées devraient pouvoir conserver la confidentialité de ces paiements. Ce débat illustre la tension entre transparence publique et gestion de crise opérationnelle. En dépit de la recrudescence des attaques, 83 % des organisations déclarent avoir renforcé leur posture de cybersécurité, notamment via la formation du personnel, la segmentation des réseaux et la mise en place de sauvegardes hors ligne.

Cybersécurité, Entreprise, Logiciels, Mise à jour, Patch, Wordpress

Faille critique dans King Addons : des sites WordPress pris pour cibles

En 24 heures, plus de 160 attaques ont visé le plugin King Addons pour Elementor, exposant des milliers de sites WordPress à un risque de piratage complet.

Les chercheurs en sécurité de Wordfence ont détecté une vague d’exploitations massives de la vulnérabilité CVE-2025-8489 affectant le plugin King Addons for Elementor. Ce module, utilisé sur plus de 10 000 sites WordPress, contenait une faille d’élévation de privilèges permettant à un attaquant non authentifié de créer des comptes administrateurs.

Une faille critique exploitée à grande échelle

Selon Wordfence, les premières attaques ont été observées le 1er novembre 2025, avec 162 tentatives bloquées en 24 heures. La faille provenait d’une erreur dans la gestion des rôles lors de l’inscription d’utilisateurs. En exploitant cette faille, les pirates pouvaient obtenir les droits d’administrateur, installer des extensions malveillantes, modifier le contenu ou rediriger le trafic du site. Classée 9,8 sur 10, la vulnérabilité a été jugée critique par le système CVSS.

Les versions concernées vont de 24.12.92 à 51.1.14. Le correctif a été publié dans la version 51.1.35 et confirmé stable à partir de la 51.1.37. Les administrateurs doivent impérativement effectuer la mise à jour.

Ne manquez pas nos dernières actualités sur Google Actualités. Ajoutez-nous comme source préférée sur Google. Suivez-nous

Un risque étendu pour les petites structures

King Addons, extension populaire pour Elementor, est très utilisé par les petites entreprises et les sites personnels, souvent peu surveillés. Ce profil en fait une cible idéale pour les campagnes automatisées de piratage. Les attaquants n’ont besoin d’aucune interaction préalable pour exploiter la faille, ce qui favorise la propagation rapide du code malveillant.

Les incidents signalés montrent que les sites non mis à jour peuvent être compromis en quelques minutes. Une fois le contrôle obtenu, les assaillants peuvent injecter des scripts, détourner le référencement SEO, ou héberger des malwares. Wordfence souligne que la plupart des attaques recensées sont menées depuis des infrastructures déjà utilisées pour d’autres campagnes contre des plugins vulnérables.

Réaction et recommandations

Les développeurs de King Addons ont diffusé une mise à jour corrective dès la découverte de la faille. Wordfence recommande aux utilisateurs de vérifier leur version et de renforcer la sécurité via une solution de protection applicative (WAF). Les administrateurs doivent aussi examiner les comptes récents créés sur leur site et supprimer tout utilisateur suspect.

L’incident illustre une fois encore la vulnérabilité de l’écosystème WordPress, où la sécurité repose largement sur la vigilance des webmasters. Malgré les alertes répétées, nombre de sites tardent à appliquer les correctifs, laissant un vaste champ d’action aux cybercriminels.

Cette nouvelle faille montre combien la maintenance proactive est cruciale pour l’intégrité des sites WordPress. Les campagnes d’exploitation automatisées se multiplient : combien de temps avant qu’elles visent les plateformes plus critiques ?

Boostez votre cybersécurité avec notre service de veille ZATAZ.
Alertes, surveillance et infos exclusives pour anticiper les menaces. Découvrir le service

Sources

backdoor, Cybersécurité, Entreprise, Espionnage Spy, Securite informatique

Alerte maximale : CISA redoute une exploitation massive du code source volé de F5

Une cyberattaque d’ampleur contre F5 a conduit l’agence américaine CISA à ordonner en urgence la mise à jour de tous les systèmes fédéraux vulnérables.

L’agence de cybersécurité américaine (CISA) alerte sur une menace majeure visant les réseaux fédéraux après le vol du code source et de failles non divulguées de F5 par un acteur étatique. Le gouvernement a publié une directive d’urgence obligeant toutes les agences civiles à mettre à jour leurs produits F5 d’ici le 22 octobre, afin de prévenir tout risque de compromission systémique.

Un vol stratégique du cœur technologique de F5

Le 9 août, F5 a découvert une intrusion prolongée et discrète dans ses environnements de développement, selon un rapport déposé à la SEC. L’entreprise, épaulée par CrowdStrike, Mandiant et les autorités fédérales, a confirmé que l’assaillant avait accédé au code source de sa suite BIG-IP — technologie clé utilisée pour le routage, la sécurité applicative et la gestion des accès dans les infrastructures critiques. Des informations sur des vulnérabilités encore non corrigées ont également été exfiltrées.
CISA estime que cet accès offre à l’attaquant un avantage technique majeur, lui permettant d’analyser en profondeur le code, d’identifier de nouvelles failles et de créer des exploits ciblés. L’agence craint que ces outils ne servent à s’infiltrer dans les réseaux fédéraux, voler des données sensibles et maintenir un accès persistant.

Une directive d’urgence face à un risque systémique

L’ordre fédéral impose la mise à jour immédiate de tous les équipements et logiciels F5 — physiques ou virtuels — avant le 22 octobre, et un rapport d’audit complet avant le 29. Les produits concernés incluent BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ et les clients APM.

Nick Andersen, directeur exécutif adjoint de la cybersécurité à CISA, a précisé qu’aucune compromission confirmée n’a été détectée dans les agences fédérales à ce jour, mais que des milliers d’appareils F5 sont déployés sur les réseaux gouvernementaux. L’agence prévoit des réunions d’information avec les entités locales, étatiques et privées.
Madhu Gottumukkala, directeur par intérim de CISA, a averti que la simplicité d’exploitation des failles volées « impose une action immédiate et décisive ». L’agence recommande également au secteur privé d’appliquer sans délai les correctifs, évoquant un risque de compromission « catastrophique » pour les systèmes critiques.

Une brèche surveillée, mais un adversaire inconnu

F5 affirme avoir évincé les intrus, réinitialisé ses identifiants et renforcé la supervision de ses environnements. Aucun signe de modification du code source ni de la chaîne d’approvisionnement logicielle n’a été observé, selon les validations indépendantes de NCC Group et IOActive.

L’entreprise indique ne pas connaître l’identité de l’acteur étatique responsable, mais plusieurs experts pointent des précédents impliquant des groupes affiliés à la Chine. En 2023, Mandiant avait déjà révélé que des sous-traitants du ministère chinois de la Sécurité d’État exploitaient une faille critique (CVE-2023-46747) affectant BIG-IP.

F5 a également confirmé que certains fichiers volés contenaient des informations techniques relatives à un faible pourcentage de clients. L’entreprise s’engage à notifier directement les clients concernés et à offrir à tous ses utilisateurs un abonnement gratuit au logiciel de détection Falcon EDR de CrowdStrike.

Cette attaque contre F5 illustre la vulnérabilité croissante des chaînes logicielles stratégiques. Si le vol de code source devient un levier d’espionnage à long terme, quelles contre-mesures structurelles peuvent encore garantir l’intégrité des systèmes fédéraux et industriels ?

Sources

Cybersécurité, Entreprise, Securite informatique

Cyberattaque contre Co-op : un manque à gagner de 200 millions d’euros !

Une attaque informatique au printemps a privé Co-op de 274 millions € de revenus, perturbé ses approvisionnements et exposé les données personnelles de 6,5 millions de membres.

Le distributeur britannique Co-op a révélé que la cyberattaque d’avril lui a coûté 206 M£ (274 M€) de revenus, touchant principalement son activité alimentaire. L’incident a entraîné des rayons vides, des systèmes mis hors ligne et la compromission des données de ses 6,5 millions de membres. Selon l’entreprise, les pertes directes de profit se chiffrent à 80 M£ (107 M€). L’enquête a conduit à l’arrestation de quatre personnes, dont un mineur, soupçonnés d’être liés au groupe criminel Scattered Spider. Co-op affirme avoir évité le verrouillage complet de ses systèmes grâce à une déconnexion préventive de ses réseaux, mais reste marqué par un affaiblissement de sa compétitivité face à ses rivaux.

Un réseau fragilisé par l’attaque

L’attaque a été détectée en avril. Pour limiter sa propagation, Co-op a choisi de couper volontairement ses systèmes centraux, ce qui a réduit immédiatement la disponibilité des produits en magasin. Les semaines suivantes, les clients ont constaté des rayons vides et des promotions suspendues. Le rapport semestriel précise que l’activité alimentaire a été la plus affectée. La direction a reconnu que la concurrence a profité de la situation pour capter une partie de la clientèle. Malgré la poursuite des ventes, la rentabilité a plongé, avec un manque à gagner de 80 millions de £ (107 millions €) rien que sur le premier semestre.

 

⚠️ Êtes-vous une proie facile ?⚠️  ️

Scanner de menaces ZATAZ -> identifiez vos expositions avant l’attaque✅ Scanner mes risques
Confidentiel • Instantané • Sécurisé • 100 % Made in France

Un mode opératoire attribué à Scattered Spider

Les enquêteurs soupçonnent que les attaques visant Co-op, M&S et Harrods soient reliées au groupe Scattered Spider, une constellation de jeunes pirates actifs dans l’intrusion de réseaux d’entreprises. Quatre suspects ont été arrêtés en juillet, dont un adolescent. Cette proximité entre acteurs très jeunes et attaques de grande ampleur illustre la difficulté à anticiper l’origine des menaces. Le mode opératoire évoqué s’inscrit dans la tendance des assaillants à viser simultanément plusieurs cibles commerciales, exploitant les dépendances technologiques de la distribution moderne.

Des données massivement compromises

Bien que Co-op ait évité un verrouillage complet par rançongiciel, la fuite de données a touché l’ensemble de ses 6,5 millions de membres. Les informations personnelles compromises alimentent désormais la crainte d’un usage ultérieur par des groupes criminels pour de l’usurpation d’identité ou du chantage. La direction a insisté sur le fait que les équipes ont travaillé sans relâche pour restaurer les opérations et protéger les infrastructures. Mais la perte de confiance reste un enjeu majeur. Dans un secteur où la fidélisation repose sur la sécurité perçue des systèmes de paiement et des données clients, l’atteinte est autant réputationnelle que financière.

L’affaire Co-op souligne la vulnérabilité des chaînes de distribution aux attaques coordonnées et la porosité croissante entre cybercriminalité juvénile et opérations structurées. La question demeure : jusqu’où les enseignes britanniques sont-elles capables d’anticiper de telles menaces et de protéger durablement leurs données sensibles ?

 

Rejoignez ZATAZ sur les réseaux :

Newsletter
WhatsApp
Twitter/X
LinkedIn
YouTube
Google News
Aucun spam – Désinscription en un clic – Vie privée respectée

Cyber-attaque, Cybersécurité, Entreprise, Piratage

Turla et Gamaredon, la collaboration inédite de deux APT russes

Deux cybergroupes affiliés au Kremlin ont été repérés collaborant en Ukraine, une première documentée par des chercheurs.

Pour la première fois, des chercheurs en cybersécurité observe une coopération directe entre Turla et Gamaredon, deux APT russes habituellement distincts. Selon les chercheurs, Gamaredon infecte massivement les machines en Ukraine tandis que Turla sélectionne ensuite les cibles d’intérêt, souvent riches en informations stratégiques. Cette combinaison illustre une coordination cyber offensive pilotée par le renseignement russe, avec des implications majeures pour la sécurité numérique européenne et militaire.

Une alliance inédite repérée en Ukraine

L’éditeur de solution de sécurité informatique ESET a découvert que des appareils de grande valeur en Ukraine présentaient des traces simultanées de malwares issus de Turla et Gamaredon. Dans plusieurs cas, Turla a exploité des machines déjà compromises par Gamaredon. Les chercheurs notent que cette synergie n’est pas fortuite : tous deux travaillent probablement sous l’égide du FSB, l’agence de renseignement russe.

Gamaredon est réputé pour ses attaques massives et peu discrètes. Son objectif consiste à aspirer rapidement un maximum de données sans s’embarrasser de techniques d’effacement. Turla, à l’inverse, est considéré comme l’un des groupes APT les plus sophistiqués au monde. Lié à des attaques contre le Pentagone en 2008, le ministère allemand des Affaires étrangères et l’armée française, il privilégie des cibles réduites mais hautement sensibles, en utilisant notamment l’internet par satellite pour brouiller son origine.

Des rôles complémentaires dans l’espionnage numérique

L’analyse montre que Turla a pu envoyer des commandes à des machines compromises grâce aux accès ouverts par Gamaredon. Ce scénario confirme une chaîne de collaboration où Gamaredon sert de porte d’entrée large et bruyante, tandis que Turla exploite ensuite une sélection restreinte de machines stratégiques. Cette répartition des tâches pourrait accroître l’efficacité globale des opérations du FSB dans la guerre cyber en cours contre l’Ukraine.

La stratégie de Turla repose sur la furtivité et le ciblage fin. Celle de Gamaredon repose sur la prolifération rapide et l’effet de masse. Ensemble, elles permettent à Moscou de combiner collecte massive et exploitation chirurgicale des données sensibles, un schéma rarement observé dans le cyberespace.

Il s’agit de la première preuve tangible d’une coopération directe entre les deux groupes. Ce constat éclaire un mode opératoire plus coordonné des opérations cyber russes. Les chercheurs estiment que Gamaredon compromet des centaines, voire des milliers, d’appareils en Ukraine, tandis que Turla ne s’intéresse qu’aux systèmes contenant des informations critiques.

Une telle collaboration pourrait transformer le rapport de force cyber, en rendant plus difficile la détection et la neutralisation de ces attaques. Pour l’Ukraine et ses alliés, l’enjeu devient d’identifier les passerelles créées par Gamaredon et exploitées par Turla avant qu’elles ne servent à des intrusions à haute valeur stratégique.

Cette alliance tactique entre Turla et Gamaredon illustre une industrialisation du renseignement cyber orchestrée par Moscou. La question centrale reste : jusqu’où cette coopération pourra-t-elle étendre la portée et l’efficacité des opérations russes contre les infrastructures ukrainiennes et occidentales ? (ESET Research)

backdoor, Cyber-attaque, Cybersécurité, Securite informatique

Google sous pression après une menace du collectif Scattered LapSus Hunters

Un collectif cybercriminel exige le licenciement de deux experts sécurité de Google. Sans preuve d’intrusion, la menace illustre une nouvelle tactique d’intimidation contre les équipes de renseignement.

Le collectif Scattered LapSus Hunters, réunissant trois groupes de pirates connus, menace Google de divulguer des données internes si deux de ses experts en cybersécurité ne sont pas renvoyés. Cette demande inédite, relayée sur Telegram, cible directement les équipes de Threat Intelligence de l’entreprise. Aucune preuve d’intrusion n’a été présentée à ce jour, mais la menace intervient après une fuite récente liée à un prestataire Salesforce ayant touché des données de contacts professionnels. Google n’a pas confirmé de compromission ni réagi publiquement à cet ultimatum. L’affaire met en lumière les pressions croissantes exercées sur les géants technologiques et le rôle clé de leurs cellules de renseignement cyber.

Origines et méthodes du collectif

Les Scattered LapSus Hunters se présentent comme une alliance de trois acteurs notoires de la cybercriminalité : Scattered Spider, LapSus$ et ShinyHunters. Chacun s’est déjà illustré par des attaques marquantes contre de grandes entreprises technologiques. Scattered Spider est réputé pour ses campagnes de social engineering et ses opérations de rançongiciels. LapSus$ s’est fait connaître en piratant Microsoft, NVIDIA et d’autres géants du secteur. ShinyHunters, pour sa part, a bâti sa réputation en volant et en revendant des bases de données issues de plateformes comme Wattpad ou Tokopedia. Personne ne s’est encore imaginé « publiquement » qu’ilm s’agirait peut-être de la même personne, cachait depuis peu sous ces trois signatures.

Cette coalition revendique aujourd’hui une stratégie atypique : exiger non pas une rançon financière, mais le renvoi de deux employés de l’équipe de Threat Intelligence de Google. Une telle démarche suggère que ces analystes mènent activement des enquêtes susceptibles de nuire aux opérations des cybercriminels. Les noms n’ont pas été divulgués, mais le ciblage personnel constitue une escalade significative dans la confrontation entre acteurs malveillants et équipes de défense.

Alerte après une fuite via Salesforce

La menace survient quelques semaines après un incident impliquant l’écosystème de Google. En août, l’un des groupes liés au collectif a exploité une faille chez Salesforce, prestataire externe de Google, pour accéder à des données de contacts professionnels. Les systèmes centraux de l’entreprise n’ont pas été compromis, mais l’événement a permis aux attaquants de récupérer des informations exploitables pour des campagnes de phishing et de vishing à grande échelle.

Face à ce risque accru, Google a diffusé une recommandation mondiale de réinitialisation de mots de passe, visant ses 2,5 milliards d’utilisateurs Gmail. Ce geste illustre la sensibilité de la menace, même lorsque la compromission ne touche pas directement les infrastructures internes. Les cybercriminels misent sur ces brèches périphériques pour multiplier les angles d’attaque.

À ce stade, Google n’a publié aucun communiqué officiel en réponse à l’ultimatum des Scattered LapSus Hunters. L’entreprise semble attendre d’éventuelles preuves tangibles avant d’ajuster sa posture publique. Complyer à une exigence visant des employés serait inédit et risquerait de créer un précédent dangereux, incitant d’autres groupes à recourir à l’extorsion ciblée.

Cette situation constitue un test pour les grandes entreprises technologiques. Elles doivent arbitrer entre discrétion stratégique, communication transparente envers leurs utilisateurs et protection de leurs équipes de renseignement. Si les pirates publient un jour des preuves crédibles d’intrusion, Google sera contraint d’activer ses protocoles de divulgation et de confinement. En attendant, l’épisode illustre la montée en puissance des tactiques de pression psychologique sur les défenseurs, autant que sur les infrastructures techniques.

Antivirus, backdoor, cryptage, Cybersécurité, ransomware, Securite informatique

Un EDR Killer partagé entre groupes de ransomware

Un outil furtif circule entre groupes de ransomware. Il désarme les antivirus, contourne les protections, s’améliore par usage. Sophos sonne l’alerte : la menace est désormais coopérative.

 

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

Depuis 2022, un programme malveillant conçu pour désactiver les protections informatiques – baptisé « EDR Killer » – est partagé, adapté et utilisé par plusieurs groupes de ransomware parmi les plus dangereux. Sophos, entreprise de cybersécurité, a récemment révélé l’ampleur de cette coopération souterraine entre acteurs malveillants. Ce « tueur d’antivirus », indétectable grâce au chiffrement HeartCrypt et signé avec des certificats numériques frauduleux, cible toutes les principales solutions de sécurité du marché. Il s’intègre en amont des attaques, neutralisant les défenses des victimes avant même que le ransomware n’agisse. Ce phénomène illustre un tournant stratégique dans la cybercriminalité : des ennemis qui partagent leurs outils comme s’ils constituaient un arsenal collectif contre les systèmes de défense.

Une bombe invisible glissée dans les chaînes d’attaque

Août 2025. Une équipe de réponse à incident s’interroge sur l’échec des systèmes de détection d’une entreprise britannique frappée par le ransomware Medusa. Tous les outils de sécurité avaient été désactivés sans alerte. Pas de signal, pas d’alarme, pas même une trace résiduelle dans les journaux système. Rien qu’un silence avant le chaos.

C’est dans cette zone d’ombre que s’est glissé le « EDR Killer », un outil autonome, insidieux, sophistiqué, capable de tuer silencieusement la majorité des solutions de cybersécurité utilisées par les entreprises : Microsoft Defender, Bitdefender, Sophos, McAfee, SentinelOne, Webroot, et bien d’autres.

Les équipes de Sophos, en enquêtant sur plusieurs attaques coordonnées depuis 2022, ont constaté un phénomène inquiétant : le même outil, utilisé par plusieurs groupes sans lien apparent. Medusa, Blacksuit, Qilin, DragonForce, INC. Des groupes parfois rivaux, souvent concurrents dans leurs méthodes, mais qui, ici, partageaient un même couteau numérique. Mieux encore, chacun d’eux utilisait une version adaptée du code. Preuve d’une circulation technique, non pas d’une simple copie.

Des mécanismes d’effacement et de camouflage maîtrisés

Le « EDR Killer » n’est pas une simple charge virale. Il est préparé comme une arme tactique. Il ne chiffre pas les données. Il ne vole rien. Il prépare le terrain.

En amont de l’attaque finale, il désactive les agents de surveillance, coupe les connexions aux services cloud de sécurité, et tue les processus critiques liés à la détection comportementale. Il le fait en mémoire, sans écrire de fichiers persistants, rendant son analyse post-mortem quasi impossible.

Pour échapper aux antivirus eux-mêmes, le binaire est obfusqué par HeartCrypt, un service commercial illégal fonctionnant selon le modèle « packer-as-a-service ». Il chiffre les exécutables, empêche la rétro‑ingénierie, et peut muter à chaque exécution, comme un virus biologique contournant les vaccins.

Mais le plus remarquable reste l’utilisation de certificats numériques volés ou expirés, qui permettent à l’outil d’installer des pilotes système avec les droits les plus élevés. Ainsi, les protections profondes du noyau Windows sont elles aussi désactivées, ouvrant la voie au déploiement du ransomware proprement dit.

⏳ Jusqu’où tolérerez-vous d’être piraté ?

CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.

✅ Scanner mes risques

Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.

Une convergence inquiétante entre acteurs criminels

L’enquête de Sophos ne s’est pas arrêtée à l’analyse technique. Très vite, un élément stratégique est apparu : les multiples versions de l’outil n’étaient pas identiques. Chaque groupe criminel semble avoir obtenu, modifié et adapté le code à ses propres chaînes d’attaque. Ce n’est pas un simple exécutable partagé, mais un projet logiciel, vivant, distribué.

Ce phénomène rappelle les logiques de coopération entre mafias numériques : partage de ressources, vente de services spécialisés, mutualisation de moyens. HeartCrypt, par exemple, est commercialisé sur les forums clandestins à des prix variant selon le niveau de personnalisation. Des criminels y vendent des solutions de chiffrement sur mesure, avec signature valide, support client, mises à jour hebdomadaires.

Ainsi, un opérateur ransomware peut commander un « EDR Killer » customisé, obfusqué, certifié, prêt à l’emploi. Il l’intègre ensuite dans sa chaîne d’exploitation. Cette industrialisation des moyens techniques marque une nouvelle étape dans l’économie souterraine du cybercrime, où l’optimisation opérationnelle prime sur l’exclusivité.

Une opération éclair : SimpleHelp comme point d’entrée

Un cas précis illustre la redoutable efficacité de ce schéma. En mai 2025, Medusa a exploité une vulnérabilité zero-day dans la plateforme de support à distance SimpleHelp. En quelques minutes, l’EDR Killer est injecté, les défenses abattues. Le ransomware prend alors le contrôle. Aucun antivirus ne s’est réveillé.

Le vecteur initial (SimpleHelp) était légitime. Le code était signé. Les protections désactivées proprement. Pour les victimes, la sidération a été totale. Pour les experts en sécurité, un rappel brutal : même les outils de gestion IT peuvent devenir des armes contre les réseaux qu’ils protègent.

L’incident révèle une évolution stratégique majeure dans l’univers du cybercrime. D’abord, on assiste à une désintermédiation des phases d’attaque : en désactivant les EDR au tout début de l’intrusion, les assaillants éliminent la première ligne de défense, celle qui agit en temps réel, réduisant à néant les capacités de réaction automatisée. La chaîne d’attaque devient silencieuse, plus rapide, plus létale.

Ensuite, cette affaire fournit la preuve concrète d’un partage d’outils entre groupes traditionnellement indépendants. Ce ne sont plus des tactiques uniques, mais des briques logicielles mutualisées, adaptées localement selon les cibles. Cette convergence suggère l’émergence d’un véritable marché noir modulaire où chaque groupe assemble son propre kit d’agression.

Par ailleurs, la dépendance croissante à des services criminels spécialisés, comme HeartCrypt, témoigne d’un écosystème structuré. Ces services d’obfuscation et de chiffrement opèrent selon des logiques commerciales classiques, avec catalogue, support, mises à jour. Cela rapproche de plus en plus les réseaux cybercriminels d’un modèle industriel, où la sophistication est achetée à la demande.

Enfin, cette dynamique pose un défi renouvelé au renseignement technique. Il ne suffit plus d’analyser des souches virales isolées : il faut désormais cartographier les flux technologiques, identifier les empreintes des fournisseurs, suivre les patterns d’obfuscation. La guerre n’est plus seulement contre un virus, mais contre une logique collaborative qui dépasse chaque attaque.

Que peut faire la défense face à cette menace mutante ?

Face à cette mutation du paysage numérique, la riposte ne peut être uniquement technique. D’abord, il est essentiel de renforcer la surveillance active des marchés clandestins, là où les outils comme HeartCrypt sont distribués, évalués, améliorés. L’enjeu est de comprendre les cycles de vie des outils, de détecter les variantes dès leur phase de test.

En parallèle, les acteurs de la cybersécurité doivent développer des mécanismes de détection comportementale capables d’identifier les symptômes d’un EDR Killer, même si celui-ci reste inconnu en signature. Cela suppose un changement de paradigme, passant de la reconnaissance de fichiers à l’analyse des effets systémiques.

Il devient également crucial de durcir la gestion des pilotes système. Trop souvent, des certificats numériques volés ou expirés sont encore tolérés par les systèmes d’exploitation. Réformer cette tolérance permettrait de réduire considérablement la surface d’attaque.

Enfin, la collaboration entre entreprises, y compris concurrentes, doit devenir une norme. Si un outil est partagé entre cybercriminels, il peut aussi être détecté collectivement. Les mécanismes de threat intelligence mutualisée, ouverts, intersectoriels, peuvent faire émerger une défense coordonnée à la hauteur d’une attaque elle-même collaborative.

 

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

Chiffrement, Cybersécurité, Entreprise, Fuite de données, Securite informatique

Cyberattaque chez FranceLink : le combat pour la reconstruction

En juillet 2025, FranceLink s’effondre sous une cyberattaque massive. Ce choc marque le début d’un combat acharné pour la survie d’une infrastructure cruciale.

À l’été 2025, FranceLink, prestataire IT français, subit une cyberattaque d’une violence inédite. Contraints de couper tous leurs services pour préserver l’intégrité de ce qui reste, les dirigeants révèlent que des données critiques ont été chiffrées par un groupe malveillant. Si certaines fonctions reviennent peu à peu (comme les emails Office365 ou les sites hébergés en externe), les serveurs internes restent hors d’accès. Face à la gravité de la situation, FranceLink engage des experts en récupération de données et reconstruit son infrastructure dans l’urgence, tout en alertant ses clients sur une faille zero-day liée aux équipements VPN SonicWall. Retour sur une crise cyber aux ramifications techniques et humaines profondes.

L’attaque de l’été : choc initial et premières réponses

Tout commence à la fin du mois de juillet 2025. FranceLink, prestataire de services numériques pour de nombreuses entreprises françaises, est brutalement frappée par une cyberattaque. Le choc est brutal : en quelques heures, l’équipe dirigeante prend une décision radicale mais nécessaire : couper tous les services afin d’éviter une propagation incontrôlée. À ce stade, aucune estimation sur la durée de l’interruption n’est possible. Le mot d’ordre est clair : préserver l’intégrité de ce qui peut encore l’être.

L’attaque s’avère particulièrement sophistiquée. Très vite, l’origine de l’agression est attribuée à un groupe nommé « Akira », dont la spécialité est le chiffrement de données critiques pour ensuite extorquer leurs victimes. Les serveurs de FranceLink sont totalement inaccessibles, et les informations qu’ils contiennent semblent irrémédiablement chiffrées.

La direction communique dès les premiers jours avec une transparence rare dans ce type de crise. Elle annonce avoir restauré une partie de l’infrastructure DNS, permettant ainsi la remise en service des emails (hébergés sur Office365 ou sur d’autres plateformes) ainsi que des sites web externalisés. Toutefois, tout ce qui dépend des serveurs internes reste inaccessible. Il est impossible, à cette étape, de savoir si les données pourront être récupérées.

C’est alors que commence une course contre la montre. FranceLink mobilise une première entreprise spécialisée en récupération de données. Pendant deux semaines, ses experts collaborent avec les équipes internes, jour et nuit, week-end compris. Le résultat, livré le 6 août, est amer : seules quelques données ont pu être restaurées, très insuffisantes pour répondre aux besoins des clients.

La situation est critique. Le 13 août, le standard téléphonique est suspendu pour concentrer toutes les ressources humaines sur la reconstruction. La communication se fait exclusivement via des mises à jour publiques. Une stratégie assumée, à la fois pour maintenir le lien avec les clients et éviter la désinformation.

Reconstruction technique et traque de la vulnérabilité

Dès le 6 août, une nouvelle entreprise est sollicitée pour tenter de récupérer davantage de données. Cette démarche implique des coûts importants (plusieurs dizaines de milliers d’euros), mais FranceLink ne recule devant aucun effort. L’objectif est double : récupérer ce qui peut l’être et, en parallèle, reconstruire rapidement une infrastructure viable.

Les équipes de l’entreprise identifient une possible piste technique sur l’origine de la faille : une vulnérabilité zero-day dans les équipements VPN SSL SonicWall, utilisée dans l’environnement réseau de FranceLink. Cette faille pourrait avoir été exploitée par les assaillants pour pénétrer le système. Bien que SonicWall indique encore être en phase d’investigation, le lien est suffisamment préoccupant pour que FranceLink alerte officiellement ses clients. Ceux-ci sont invités à consulter les alertes de sécurité et à appliquer immédiatement les mesures de protection recommandées.

En parallèle, le chantier de la reconstruction bat son plein. L’enjeu est énorme : rétablir les plateformes clients, mais surtout leur offrir un environnement sain, sécurisé et stable. FranceLink décide alors de créer de nouveaux espaces, entièrement refondus, même s’ils sont, dans un premier temps, dépourvus de données historiques.

Cette décision est stratégique. Elle permet aux clients de reprendre leurs activités, même partiellement, et de se projeter dans une reprise. En parallèle, un formulaire est mis en ligne pour que chaque client puisse indiquer les données les plus critiques à ses yeux. Cette démarche participative permet de prioriser les efforts de restauration, tout en impliquant les victimes dans la résolution.

Au fil des jours, les services reviennent. Les messageries Office365, les sites en développement ou encore les noms de domaine fonctionnent de nouveau. FranceLink documente chaque étape, publie un rapport d’incident détaillé, et tente de rassurer en maintenant une communication factuelle.

Date Événement
29/07/2025 Coupure totale des services de FranceLink suite à une cyberattaque. Standard téléphonique également suspendu.
31/07/2025 Première communication officielle sur la messagerie : deux solutions proposées pour restaurer les emails.
01/08/2025 FranceLink confirme avoir été visée par le groupe de ransomware Akira. Mise en ligne d’un formulaire pour prioriser la restauration.
04/08/2025 Premiers bilans techniques : difficultés majeures à récupérer les données chiffrées malgré le travail des experts.
06/08/2025 Fin de la mission du premier spécialiste de récupération. Quelques données récupérées, mais insuffisantes. Engagement d’un second expert.
Alerte sur une faille zero-day dans les équipements VPN SSL SonicWall, potentiellement à l’origine de l’intrusion.
11/08/2025 Publication d’un rapport d’incident détaillé. FranceLink invite ses clients à en prendre connaissance.
13/08/2025 Mise à jour : standard téléphonique toujours suspendu. FranceLink détaille ses priorités : reconstruction et récupération.
À ce jour Services DNS restaurés. Emails et sites web externalisés refonctionnent. Les serveurs internes restent inaccessibles.

Une crise révélatrice des fragilités systémiques

Au-delà des aspects techniques, cette cyberattaque met en lumière une réalité trop souvent ignorée : la dépendance des entreprises, même modestes, à des infrastructures numériques vulnérables. FranceLink, comme beaucoup d’acteurs du numérique, héberge non seulement des services mais aussi des identités numériques, des archives, des outils métiers critiques. Lorsqu’un acteur de cette chaîne tombe, c’est tout un écosystème qui vacille.

L’attaque d’Akira n’est pas un cas isolé. En 2025, les cyberattaques visant les prestataires IT se multiplient. Elles visent les maillons techniques de la chaîne de confiance, là où la sécurité est supposée être la plus solide, mais où les failles humaines, techniques ou organisationnelles peuvent provoquer des catastrophes systémiques. Le cas FranceLink en est une parfaite illustration. L’alerte autour des équipements SonicWall ajoute une couche d’inquiétude. Si la faille zero-day est confirmée, elle remettrait en question la sécurité de milliers d’infrastructures utilisant cette technologie à travers l’Europe. Dans ce contexte, la proactivité de FranceLink dans l’identification et la diffusion de l’alerte est saluée par une partie de la communauté cyber.

Mais au-delà des conséquences techniques, cette crise a aussi des implications humaines. Les équipes de FranceLink, en première ligne, ont dû affronter l’impossible : gérer la pression de centaines de clients inquiets, reconstruire en urgence, communiquer dans l’incertitude, tout en vivant le deuil numérique d’une infrastructure effondrée. Le silence du standard téléphonique, pendant plusieurs semaines, est un symbole de cette tension. La suite reste encore incertaine. Les tentatives de récupération se poursuivent. Le soutien des clients semble, en partie, tenir. Mais les dégâts sont là : pertes de données, arrêts d’activité, crédibilité ébranlée. Le Service Veille de ZATAZ confirme la menace d’Akira de diffuser d’ici peu 20 Go de données qui auraient été dérobées pendant la cyber attaque !