Les dernières cyberattaques – 7 oct 2025

Voici le tour d’horizon des cyberattaques marquantes de la semaine : cibles visées, méthodes employées et premières conséquences déjà connues.

La cybersécurité continue d’être une préoccupation majeure pour les entreprises du monde entier, comme en témoignent les incidents récents. Des attaques par ransomware aux campagnes de phishing sophistiquées, les cybercriminels exploitent des vulnérabilités pour voler des données et extorquer de l’argent. Cette semaine, des entreprises de renom telles qu’Asahi et Comcast ont été ciblées, soulignant l’ampleur et la diversité des menaces. Les outils de phishing évoluent, rendant les attaques plus difficiles à détecter, tandis que des groupes criminels comme Scattered Lapsus$ et Medusa intensifient leurs activités. Ces incidents illustrent la nécessité pour les entreprises de rester vigilantes et de renforcer leurs défenses contre les cyberattaques.

Le géant japonais de la bière, Asahi, a confirmé avoir subi une attaque par ransomware qui a causé des perturbations dans ses usines, obligeant l’entreprise à passer à un traitement manuel des commandes et des expéditions. Asahi, qui produit 100 millions d’hectolitres de boissons par an et emploie 30 000 personnes, a révélé que des données ont potentiellement été transférées de manière non autorisée. L’attaque, qui a affecté uniquement les opérations au Japon, a été découverte grâce à un quartier général d’urgence mis en place pour enquêter sur l’incident. Bien qu’aucun groupe de ransomware n’ait revendiqué l’attaque, l’entreprise travaille avec des experts en cybersécurité pour rétablir ses systèmes. Comme le détaille BleepingComputer, l’impact est limité à la suspension des processus de commande et d’expédition basés sur le système.

Un nouvel outil de phishing et de distribution de logiciels malveillants, MatrixPDF, permet aux attaquants de transformer des fichiers PDF ordinaires en appâts interactifs qui contournent la sécurité des e-mails. Cet outil, observé pour la première fois sur un forum de cybercriminalité, est promu comme un simulateur de phishing et un outil pour les équipes de sécurité. MatrixPDF offre des fonctionnalités telles que l’importation de PDF par glisser-déposer et des actions JavaScript intégrées qui s’activent à l’ouverture du document. Le prix de l’outil varie de 400 $ par mois à 1 500 $ par an. Selon BleepingComputer, les PDF générés peuvent être envoyés à des comptes Gmail, contournant les filtres de phishing grâce à l’absence de binaires malveillants, mais contenant des liens externes cliquables.

Le collectif criminel Scattered Lapsus$ Hunters a refait surface avec un site de fuite de données Salesforce, menaçant de publier les données volées des clients de Salesforce si ses exigences ne sont pas satisfaites d’ici le 10 octobre. Ce collectif, qui combine les groupes Scattered Spider, Lapsus$, et ShinyHunters, utilise des appels vishing pour obtenir des accès aux environnements Salesforce des organisations ciblées. Le site de fuite de données prétend détenir environ un milliard d’enregistrements, avec 39 organisations victimes listées. Selon DarkReading, Salesforce a déclaré qu’il n’y a pas d’indication que sa plateforme ait été compromise, mais reste engagé avec les clients affectés pour fournir un soutien.

Le groupe de ransomware Medusa revendique le vol de 834,4 gigaoctets de données de Comcast et exige une rançon de 1,2 million de dollars pour ne pas divulguer les informations. Les données volées incluent des rapports actuariels, des scripts de modélisation d’assurance et des analyses de réclamations. Medusa a publié environ 20 captures d’écran et une liste de fichiers pour prouver l’accès aux données internes de Comcast. Comme le rapporte HackRead, Medusa est connu pour publier des listes de fichiers et des captures d’écran comme preuve de compromission, tout en retenant la majorité des données pour augmenter la pression sur les victimes.

Des hackers exploitent l’API d’un routeur cellulaire pour envoyer des SMS malveillants contenant des liens piégés, ciblant principalement la Belgique. Le 22 juillet 2025, des traces réseau suspectes ont été détectées par l’équipe de détection des menaces de Sekoia.io, révélant l’exploitation de l’API d’un routeur cellulaire pour mener des campagnes de smishing. Les attaques imitent des services officiels belges et utilisent le code pays +32. Selon GBHackers, plus de 19 000 routeurs cellulaires Milesight exposés sur Internet ont été identifiés, dont près de la moitié en Australie.

La campagne de malware Detour Dog utilise des enregistrements DNS TXT pour distribuer le voleur d’informations Strela Stealer. Depuis août 2023, Detour Dog a évolué pour devenir un système de distribution sophistiqué basé sur le DNS, compromettant des dizaines de milliers de sites web. En juin 2025, l’infrastructure Detour Dog hébergeait le backdoor StarFish, qui installe la charge utile Strela Stealer. Selon GBHackers, 69 % des hôtes de mise en scène StarFish confirmés étaient sous contrôle de Detour Dog.

Google a observé le groupe Cl0p envoyer des e-mails d’extorsion à des cadres, affirmant avoir volé des données de la suite Oracle E-Business. Les attaquants auraient piraté les e-mails des utilisateurs et exploité la réinitialisation par défaut des mots de passe pour voler des identifiants valides. Selon SecurityAffairs, le groupe Cl0p a exigé une rançon pouvant atteindre 50 millions de dollars, fournissant des preuves de compromission aux victimes.

Les chercheurs ont découvert deux campagnes de logiciels espions Android, ProSpy et ToSpy, se faisant passer pour Signal et ToTok aux Émirats Arabes Unis. Les applications malveillantes sont distribuées via des sites web factices et des tactiques d’ingénierie sociale. Selon SecurityAffairs, ces logiciels espions non documentés auparavant exfiltrent des données sensibles des appareils Android compromis.

Le collectif Trinity of Chaos, lié à Lapsus$, Scattered Spider et ShinyHunters, a lancé un site de fuite de données sur le réseau TOR, touchant 39 entreprises via des failles Salesforce. Ce site contient des références aux victimes récentes, y compris Stellantis et Jaguar Land Rover. Selon SecurityAffairs, le site de fuite de données pourrait contenir plus de 1,5 milliard d’enregistrements si les exigences de rançon ne sont pas satisfaites.

Les attaques du ransomware Akira ciblent les appareils SonicWall SSL VPN protégés par MFA, réussissant à s’authentifier malgré l’activation de l’authentification à deux facteurs. Les chercheurs soupçonnent l’utilisation de graines OTP volées. Selon BleepingComputer, les acteurs de la menace ont exploité une faille de contrôle d’accès, CVE-2024-40766, même après l’application des mises à jour de sécurité.