Offrez un café pour cette veille gratuite!Voici la synthèse des principales cyberattaques annoncées la semaine passée.
Le résumé de la semaine
Plusieurs campagnes malveillantes et attaques ciblées ont marqué la semaine passée, illustrant la diversité et la persistance des menaces. Sur Google Play, plus de 300 applications Android malicieuses, qualifiées de « vapor apps », ont été installées 60 millions de fois. Derrière leur apparence anodine, ces applications agissaient comme des adwares ou tentaient de dérober des identifiants et informations bancaires. Ce type d’infiltration à grande échelle met en lumière les limites persistantes des mécanismes de détection sur les plateformes officielles.
Dans le domaine du ransomware, plusieurs opérations se sont illustrées. Le groupe Medusa a recours à un pilote malveillant baptisé ABYSSWORKER pour désactiver les solutions de sécurité via une attaque de type BYOVD (Bring Your Own Vulnerable Driver), en utilisant des certificats volés. Parallèlement, le ransomware RansomHub intègre un nouveau backdoor personnalisé nommé Betruger, offrant des capacités multiples d’exfiltration et de persistance. De son côté, BlackLock revendique près de 50 attaques en deux mois, signalant une activité intense de ce RaaS émergent. Enfin, une avancée notable a été réalisée contre Akira : un chercheur a mis au point un outil de déchiffrement basé sur l’analyse des clés générées par timestamp, permettant de récupérer les données chiffrées sur Linux via la puissance de calcul GPU en cloud.
Côté menaces sur les infrastructures publiques, plusieurs collectivités américaines ont subi des attaques perturbant leurs services, de la police aux tribunaux. En Suisse, des attaques DDoS ont visé les systèmes de l’administration fédérale, occasionnant des interruptions temporaires. L’objectif semble davantage médiatique qu’opérationnel. Par ailleurs, l’armée ukrainienne est la cible d’une campagne de spear-phishing via Signal, avec distribution de malware à travers des comptes compromis, visant des personnels militaires et industriels.
Les attaques sur la chaîne d’approvisionnement logicielle se poursuivent. Une compromission initiale de l’action GitHub aurait déclenché une attaque en cascade. Cette chaîne a exposé des secrets d’intégration continue (CI/CD), avec Coinbase identifié comme la cible principale. Plus de 23 000 dépôts GitHub pourraient être concernés par cette exposition indirecte.
Du côté des vulnérabilités exploitées, le groupe Mora_001, lié à des acteurs russes, cible activement les pare-feu Fortinet pour déployer des ransomwares. En parallèle, les chercheurs ont mis en évidence un outil d’automatisation d’attaques par force brute développé par le groupe Black Basta. Baptisé BRUTED, ce framework est capable de cibler VPN et dispositifs périmétriques comme SonicWall, Fortinet, Cisco ou Citrix, en exploitant des certificats SSL et en s’appuyant sur des proxys SOCKS5 pour éviter la détection.
Le secteur du web n’est pas en reste : la campagne malveillante ‘DollyWay’ a compromis plus de 20 000 sites WordPress depuis 2016, avec un objectif de redirection vers des pages piégées. Cette longévité témoigne d’une structure opérationnelle bien ancrée et difficile à éradiquer. Enfin, dans le secteur blockchain, la plateforme de jeux WEMIX a subi un vol de 6,1 millions de dollars en jetons. L’intrusion, liée au vol d’une clé d’authentification pour leur service NFT, aurait été préparée durant deux mois. La révélation tardive de l’attaque a suscité la controverse, la direction expliquant vouloir éviter une panique sur les marchés.
Les cyberattaques de la semaine
Les applications Android malveillantes « Vapor » installées sur Google Play ont atteint 60 millions de fois
Plus de 300 applications Android malveillantes ont téléchargé 60 millions d’articles depuis Google Play, ont agi comme des logiciels publicitaires ou ont tenté de voler des informations d’identification et de carte de crédit. […]
Les municipalités de quatre États sont confrontées à des cyberattaques limitant leurs services
Les cyberattaques contre les entités publiques à travers les États-Unis — des commissariats de police aux districts scolaires et aux tribunaux — causent de nombreux problèmes aux résidents et aux employés du secteur public.
Le rançongiciel Medusa utilise un pilote malveillant pour désactiver l’anti-malware avec des certificats volés
Les auteurs de la menace à l’origine de l’opération de rançongiciel en tant que service (RaaS) Medusa ont été observés utilisant un pilote malveillant baptisé ABYSSWORKER dans le cadre d’une attaque BYOVD (Apportez votre propre pilote vulnérable) visant à désactiver les outils anti-malware. Elastic Security Labs a déclaré…
Le ransomware BlackLock revendique près de 50 attaques en deux mois
Une opération de ransomware en tant que service (RaaS) appelée « BlackLock » est devenue l’une des opérations de ransomware les plus actives de 2025. […]
La plateforme de jeux blockchain WEMIX a été piratée pour voler 6,1 millions de dollars
La plateforme de jeux blockchain WEMIX a subi une cyberattaque le mois dernier, permettant aux acteurs malveillants de voler 8 654 860 jetons WEMIX, évalués à environ 6 100 000 $ à l’époque. […]
Le piratage de GitHub Action a probablement conduit à une autre attaque en cascade de la chaîne d’approvisionnement
Une attaque en cascade de la chaîne d’approvisionnement qui a commencé avec la compromission de l’action GitHub « reviewdog/action-setup@v1 » aurait conduit à la récente violation de « tj-actions/changed-files » qui a divulgué des secrets CI/CD. […]
L’armée ukrainienne ciblée par de nouvelles attaques de spear-phishing de Signal
L’équipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA) met en garde contre des attaques très ciblées utilisant des comptes Signal compromis pour envoyer des logiciels malveillants aux employés des entreprises de l’industrie de la défense et aux membres des forces armées du pays. […]
La campagne de malware « DollyWay » a piraté 20 000 sites WordPress
Une opération de malware baptisée « DollyWay » est en cours depuis 2016, compromettant plus de 20 000 sites WordPress dans le monde pour rediriger les utilisateurs vers des sites malveillants. […]
Le ransomware RansomHub utilise une nouvelle porte dérobée Betruger personnalisée dans ses attaques
Des chercheurs en sécurité ont lié une nouvelle porte dérobée baptisée Betruger, déployée dans plusieurs attaques de ransomware récentes, à une filiale de l’opération RansomHub. […]
Coinbase a été la principale cible des récentes violations de GitHub Actions
Les chercheurs ont déterminé que Coinbase était la cible principale d’une récente attaque en cascade de la chaîne d’approvisionnement GitHub Actions qui a compromis les secrets de centaines de référentiels. […]
Panne des systèmes informatiques de la Confédération, en raison d’une attaque DDoS
19.03.2025 – Suite à des attaques DDoS intenses, divers services informatiques de l’administration fédérale sont temporairement perturbés depuis le mercredi 19 mars 2025 après-midi, vers 14h30 Les attaques…
Les pirates informatiques exploitent les failles du pare-feu Fortinet pour implanter des ransomwares
Des chercheurs en sécurité affirment qu’un acteur malveillant, appelé Mora_001, entretient des « liens étroits » avec le groupe de pirates informatiques lié à la Russie.
L’un des piratages de ransomware les plus puissants a été piraté grâce à une puissance GPU considérable
Un chercheur en sécurité a réussi à briser le système de décryptage d’Akira sous Linux et a développé un outil de décryptage par force brute. Il a fallu 1 200 $ et trois semaines pour décrypter un système. L’outil est désormais disponible sur GitHub. Un chercheur en sécurité a réussi à briser le système de décryptage d’Akira.
Des pirates informatiques célèbres révèlent un nouvel outil pour forcer les VPN
Des chercheurs ont découvert un outil de force brute appelé BRUTEDIl était utilisé depuis 2023 contre les VPN et les pare-feuBRUTED permet des attaques automatisées de force brute et de bourrage d’informations d’identification Les tristement célèbres acteurs du ransomware Black Basta ont créé un cadre automatisé pour forcer les pare-feu, les VPN et…
Wemix affirme que le retard dans la divulgation du piratage de 6,2 millions de dollars visait à éviter la panique : rapport
Kim Seok-hwan, PDG de la Fondation sud-coréenne Wemix, a déclaré que le retard de quatre jours dans l’annonce d’une faille de sécurité de 6,2 millions de dollars visait à éviter la panique du marché. Lors d’une conférence de presse lundi, 17 jours après le piratage, Kim a nié toute intention de dissimuler l’information.
Attaque de la chaîne d’approvisionnement sur GitHub Action populaire expose les secrets CI/CD
Une attaque de la chaîne d’approvisionnement sur l’action GitHub « tj-actions/changed-files » largement utilisée, utilisée par 23 000 référentiels, a potentiellement permis aux acteurs de la menace de voler des secrets CI/CD à partir des journaux de construction de GitHub Actions. […]
(Re)découvrez la semaine passée:
Les dernières cyberattaques (18 mar 2025)
Découvrez les principales cyberattaques repérées cette semaine du 18 mars 2025
