Les dernières cyberattaques – 23 sep 2025

Voici le tour d’horizon des cyberattaques marquantes de la semaine : cibles visées, méthodes employées et premières conséquences déjà connues.

Le paysage de la cybersécurité continue de se complexifier avec une série d’incidents marquants touchant divers secteurs à travers le monde. En août, le ransomware Qilin a frappé 104 organisations, confirmant sa position dominante dans le domaine des cyberattaques. Simultanément, une cyberattaque a perturbé les opérations de Collins Aerospace, affectant des aéroports majeurs en Europe et provoquant des retards de vols ce dernier week-end. Le secteur automobile n’est pas épargné, avec BMW victime du ransomware Everest, qui a dérobé un volume significatif de documents internes. Par ailleurs, une vaste opération de fraude publicitaire a été découverte, impliquant des applications Android malveillantes. Ces incidents soulignent la diversité et la portée des menaces actuelles, nécessitant une vigilance continue de la part des entreprises et des utilisateurs.

Une attaque cybernétique sur Collins Aerospace a gravement perturbé ce dernier week-end les opérations dans plusieurs grands aéroports européens, notamment Heathrow, Bruxelles et Berlin. L’attaque a affecté les systèmes de check-in et d’embarquement, entraînant des retards et des annulations de vols. D’après Security Affairs, l’incident a commencé vendredi soir, forçant le personnel à passer à des procédures manuelles. Collins Aerospace, une filiale de RTX, a minimisé l’impact, affirmant que seules les opérations électroniques étaient touchées. Cependant, l’attaque a causé des désagréments considérables pour des milliers de passagers, rappelant la fragilité des infrastructures critiques face aux cybermenaces.

Microsoft et Cloudflare ont perturbé une vaste opération de Phishing-as-a-Service (PhaaS) connue sous le nom de RaccoonO365, qui a aidé des cybercriminels à voler des milliers de données d’identification Microsoft 365. En septembre 2025, Microsoft a saisi 338 sites web et comptes liés à cette opération. Selon Bleeping Computer, cette initiative a permis de récupérer au moins 5,000 identifiants Microsoft volés dans 94 pays. Le service de phishing a été utilisé pour des tentatives de fraude financière et d’extorsion, mettant en danger la sécurité des données des utilisateurs.

En août, le ransomware Qilin a frappé 104 organisations, un chiffre impressionnant qui place ce groupe en tête du classement mondial pour la quatrième fois en cinq mois. Ce nombre est presque le double de celui d’Akira, qui a enregistré 56 attaques. Cette performance souligne l’efficacité de la stratégie de recrutement d’affiliés de Qilin, qui continue de s’étendre agressivement. Selon GBHackers, cette tendance persistante met en lumière la nécessité pour les équipes de sécurité de rester vigilantes face à cette menace croissante. La capacité de Qilin à maintenir sa position dominante sur une période prolongée témoigne de son organisation sophistiquée et de son approche méthodique des cyberattaques.

Le groupe de ransomware Everest a revendiqué une attaque majeure contre BMW, avec le vol de 600,000 lignes de documents internes sensibles. Ces fichiers incluent des rapports d’audit, des dossiers financiers et des fichiers d’ingénierie. Everest a publié BMW sur son site de fuite, accompagné d’un compte à rebours et d’instructions menaçant de rendre publics les documents volés. Comme le rapporte GBHackers, cette attaque souligne la vulnérabilité des grandes entreprises face aux menaces de ransomware, où des informations critiques peuvent être compromises, mettant en péril la confidentialité et la sécurité des données.

La compagnie aérienne régionale russe KrasAvia a subi une attaque informatique majeure, perturbant ses systèmes et son site web. Les passagers ont été incapables d’acheter des billets en ligne, et les opérations de vol ont dû être gérées manuellement. L’impact de cette attaque a été confirmé par la compagnie aux médias locaux, bien qu’aucun calendrier de rétablissement n’ait été fourni. Selon GBHackers, cette perturbation souligne les défis auxquels sont confrontées les entreprises de transport face aux cyberattaques, qui peuvent paralyser les opérations et affecter directement les clients.

Une montée en puissance du Phishing-as-a-Service (PhaaS) a été observée avec l’implication de 17,500 domaines de phishing ciblant 316 marques dans 74 pays. Les services Lighthouse et Lucid ont été identifiés comme responsables de cette prolifération. Selon The Hacker News, ces opérateurs de PhaaS facturent des frais mensuels pour des logiciels de phishing avec des modèles préinstallés. Cette tendance en expansion met en lumière l’évolution des modèles économiques de la cybercriminalité, facilitant l’accès aux outils de phishing pour un large éventail de cybercriminels.

Le groupe de ransomware KillSec a ciblé les données des patients et les réseaux hospitaliers en attaquant MedicSolution+, une plateforme de gestion de pratique basée sur le cloud. Le 8 septembre 2025, KillSec a exfiltré plus de 34 Go de dossiers médicaux, compromettant environ 95,000 fichiers. Selon CyberPress, cette attaque met en évidence les risques accrus pour les fournisseurs de soins de santé, avec des données sensibles exposées en raison de mauvaises configurations de stockage cloud. L’impact potentiel sur les fournisseurs de soins de santé en aval est considérable, avec un risque accru de fraude et d’atteinte à la réputation.

Google a supprimé 224 applications Android malveillantes impliquées dans une vaste opération de fraude publicitaire, baptisée « SlopAds ». Ces applications généraient 2,3 milliards de requêtes publicitaires par jour et avaient été téléchargées plus de 38 millions de fois. Comme le détaille Bleeping Computer, cette campagne mondiale a utilisé l’obfuscation et la stéganographie pour dissimuler ses activités malveillantes, avec une concentration d’impressions publicitaires provenant principalement des États-Unis, de l’Inde et du Brésil.