Voici la synthèse des principales cyberattaques annoncées la semaine passée.
Le résumé de la semaine
La semaine passée a été marquée par plusieurs cyberattaques d’ampleur, illustrant la diversité et l’intensité croissante des menaces numériques mondiales.
Aux États-Unis, la ville frontalière du Texas, Mission, a déclaré l’état d’urgence suite à une cyberattaque majeure contre ses systèmes gouvernementaux. La gravité de l’incident a poussé les autorités locales à solliciter l’intervention de l’État pour contenir les dégâts.
Dans un autre registre, deux grands opérateurs télécoms russes, Beeline et Megafon, ont subi d’importantes attaques DDoS, perturbant des services numériques essentiels pour des millions d’utilisateurs. Bien qu’aucune donnée sensible n’ait été compromise, ces attaques seraient liées aux tensions géopolitiques actuelles, notamment à la rupture récente des pourparlers entre la Russie et l’Ukraine.
Par ailleurs, une nouvelle menace nommée Eleven11bot a émergé, infectant plus de 86 000 dispositifs IoT, principalement des caméras de sécurité et des enregistreurs vidéo. Ce botnet, détecté par plusieurs équipes de sécurité, a été utilisé pour mener de puissantes attaques DDoS, ciblant notamment les États-Unis et le Royaume-Uni, mais impliquant aussi une forte activité en provenance d’Iran.
Une campagne massive visant plus de 4 000 adresses IP appartenant à des fournisseurs d’accès internet chinois et américains a également été observée. L’objectif principal : infecter les réseaux pour y installer des logiciels de vol de données et de minage de cryptomonnaies.
De leur côté, des acteurs présumés iraniens ont exploité des emails compromis d’une entreprise indienne pour cibler avec précision des organisations aéronautiques et satellitaires aux Émirats arabes unis, utilisant une porte dérobée inédite nommée Sosano.
Le groupe chinois Silk Typhoon, connu précédemment pour avoir exploité des failles sur des serveurs Microsoft Exchange, a changé de tactique en s’attaquant désormais aux chaînes d’approvisionnement IT. L’objectif est clair : obtenir un accès initial discret aux réseaux d’entreprises.
Dans la sphère criminelle, les groupes FIN7, FIN8 et Ragnar Locker continuent d’utiliser l’outil sophistiqué Ragnar Loader pour maintenir des accès persistants dans les réseaux compromis, facilitant ainsi des opérations de rançongiciel de longue durée.
L’actualité des rançongiciels est également marquée par une forte activité du ransomware Medusa, avec plus de 40 nouvelles victimes recensées depuis janvier 2025, exigeant des rançons allant jusqu’à 15 millions de dollars. Par ailleurs, le groupe Akira a démontré sa capacité à contourner les systèmes de détection (EDR) en initiant une attaque via une simple webcam non sécurisée.
Microsoft a révélé une vaste campagne de malvertising nommée Storm-0408, affectant plus d’un million d’appareils dans le monde, dans le but explicite de voler des données sensibles. De plus, l’entreprise a alerté sur la collaboration inquiétante d’un groupe nord-coréen, Moonstone Sleet, avec le ransomware Qilin dans plusieurs attaques ciblées.
Enfin, un cas particulier de fraude aux billets de concert impliquant des employés de StubHub a permis à un groupe criminel de générer plus de 635 000 dollars en revendant illégalement près de 1 000 billets pour un concert de Taylor Swift.
Les cyberattaques de la semaine
Une ville frontalière du Texas déclare l’état d’urgence après une cyberattaque sur les systèmes gouvernementaux
La maire Norie Gonzalez Garza a envoyé une lettre au gouverneur Greg Abbott, affirmant que « l’incident est d’une telle gravité et d’une telle ampleur que des mesures extraordinaires doivent être prises ».
Attaque DDoS sur Beeline Russie
Beeline, l’un des plus grands opérateurs de télécommunications russes, a récemment été victime d’une cyberattaque de grande ampleur, que les experts considèrent comme une attaque par déni de service distribué (DDoS). La cible principale de cette attaque était les systèmes informatiques de Beeline, mais heureusement, l’attaque n’a pas eu lieu…
Le nouveau botnet Eleven11bot a infecté plus de 86 000 appareils IoT
Le botnet Eleven11bot a infecté plus de 86 000 appareils IoT, principalement des caméras de sécurité et des enregistreurs vidéo en réseau (NVR). Des chercheurs de Nokia Deepfield Emergency Response Team (ERT) ont découvert un nouveau botnet nommé Eleven11bot…
Plus de 4 000 adresses IP de FAI ciblées par des attaques par force brute pour déployer des voleurs d’informations et des mineurs de cryptomonnaies
Les fournisseurs d’accès Internet (FAI) en Chine et sur la côte ouest des États-Unis sont devenus la cible d’une campagne d’exploitation de masse qui déploie des voleurs d’informations et des mineurs de cryptomonnaie sur des hôtes compromis. Les résultats proviennent de l’enquête Splunk…
Des pirates iraniens présumés ont utilisé l’e-mail compromis d’une entreprise indienne pour cibler le secteur de l’aviation aux Émirats arabes unis
Les chasseurs de menaces attirent l’attention sur une nouvelle campagne de phishing hautement ciblée qui a ciblé « moins de cinq » entités aux Émirats arabes unis (EAU) pour diffuser une porte dérobée Golang jusqu’alors non documentée baptisée Sosano. L’activité malveillante visait spécifiquement à…
Le typhon Silk, lié à la Chine, étend les cyberattaques aux chaînes d’approvisionnement informatiques pour un accès initial
L’acteur malveillant lié à la Chine à l’origine de l’exploitation zero-day des failles de sécurité des serveurs Microsoft Exchange en janvier 2021 a changé de tactique pour cibler la chaîne d’approvisionnement des technologies de l’information (TI) comme moyen d’obtenir un accès initial aux réseaux d’entreprise.
Le ransomware Medusa fait plus de 40 victimes en 2025 et exige une rançon de 100 000 à 15 millions de dollars
Les acteurs de la menace derrière le ransomware Medusa ont fait près de 400 victimes depuis son apparition en janvier 2023, les attaques à motivation financière ayant connu une augmentation de 42 % entre 2023 et 2024. Au cours des deux premiers mois de 2025…
Microsoft met en garde contre une campagne de publicité malveillante qui infecte plus d’un million d’appareils dans le monde
Microsoft a dévoilé les détails d’une campagne de malvertising à grande échelle qui aurait touché plus d’un million d’appareils dans le monde dans le cadre de ce qu’elle a qualifié d’attaque opportuniste conçue pour voler des informations sensibles. Le géant de la technologie, qui a détecté…
FIN7, FIN8 et d’autres utilisent Ragnar Loader pour les accès persistants et les opérations de ransomware
Les chasseurs de menaces ont mis en lumière une « boîte à outils de malware sophistiquée et évolutive » appelée Ragnar Loader, utilisée par divers groupes de cybercriminalité et de ransomware comme Ragnar Locker (alias Monstrous Mantis), FIN7, FIN8 et Ruthless Mantis (ex-REvil). « Ragnar Loader joue un rôle…
Une équipe de cybercriminels a volé 635 000 $ en billets de concert de Taylor Swift
Les procureurs de New York affirment que deux personnes travaillant pour un sous-traitant tiers pour la place de marché de billets en ligne StubHub ont gagné 635 000 $ après avoir vendu près de 1 000 billets de concert et les avoir revendus en ligne. […]
Un gang de ransomware a crypté un réseau à partir d’une webcam pour contourner l’EDR
Le gang de ransomware Akira a été repéré en train d’utiliser une webcam non sécurisée pour lancer des attaques de cryptage sur le réseau d’une victime, contournant ainsi efficacement Endpoint Detection and Response (EDR), qui bloquait le crypteur dans Windows. […]
Microsoft : des pirates nord-coréens rejoignent le gang du ransomware Qilin
Microsoft affirme qu’un groupe de pirates informatiques nord-coréen connu sous le nom de Moonstone Sleet a déployé des charges utiles de ransomware Qilin dans un nombre limité d’attaques. […]
(Re)découvrez la semaine passée:
Les dernières cyberattaques (4 mar 2025)
Découvrez les principales cyberattaques repérées cette semaine du 4 mars 2025
