Tag: ciberseguridad

Les menaces de l'IA redéfinissent les défis de la cybersécurité

Les menaces alimentées par l’intelligence artificielle transforment le paysage de la cybersécurité, représentant un défi significatif pour les organisations. Une étude récente réalisée par DarkTrace révèle que 74 % des professionnels de la cybersécurité estiment que ces menaces constituent un défi majeur et il est prévu que 90 % anticipent un impact considérable sur les … Continue reading “”

Les menaces alimentées par l’intelligence artificielle transforment le paysage de la cybersécurité, représentant un défi significatif pour les organisations. Une étude récente réalisée par DarkTrace révèle que 74 % des professionnels de la cybersécurité estiment que ces menaces constituent un défi majeur et que 90 % s’attendent à un impact considérable dans les un à deux prochaines années. Dans ce contexte, de nombreuses entreprises fonctionnent encore selon des modèles de défense conçus pour un environnement statique, ce qui limite leur capacité à s’adapter à la nature dynamique des risques actuels.

Pratiques CTEM

Les modèles traditionnels de défense, qui incluent des tests de pénétration annuels et des exercices de table semestriels, sont insuffisants. Ces approches se concentrent souvent sur la conformité réglementaire et offrent une visibilité limitée sur les comportements d’attaque. Pour cette raison, un changement vers la Gestion Continue de l’Exposition aux Menaces est en cours, mettant l’accent sur une pratique quotidienne informée par les menaces plutôt que sur des simulations ad hoc. Cette transformation nécessite une approche plus collaborative et résiliente, où les équipes de cybersécurité ne se contentent pas de simuler des attaques, mais s’adaptent constamment aux tactiques des adversaires.

Celle-ci se distingue des méthodes traditionnelles non seulement par la fréquence des tests, mais aussi par l’authenticité des simulations. Elles doivent reproduire le comportement réel des adversaires, ce qui aide les équipes à développer des réflexes de sécurité plus solides. De plus, l’analyse post-simulation est cruciale pour identifier les faiblesses systémiques et améliorer continuellement les compétences et les processus de réponse.

Avec un regard tourné vers l’avenir, on s’attend à ce que l’adoption de ces pratiques ne soit pas seulement une question d’outils, mais une discipline qui fasse partie intégrante de la culture organisationnelle, permettant aux entreprises d’anticiper et de répondre de manière plus efficace aux menaces émergentes.

Les autorités espagnoles arrêtent le leader d'un groupe de cybercriminalité

Les autorités espagnoles ont arrêté un homme de 25 ans accusé de diriger le GXC Team, un groupe qui se consacre apparemment à la distribution de logiciels malveillants et d’outils d’intelligence artificielle à d’autres cybercriminels. Cette opération souligne la préoccupation croissante concernant la cybersécurité et l’activité criminelle en ligne en Europe, surtout à mesure que les techniques de piratage deviennent plus sophistiquées. Des groupes de plus en plus fréquents L’arrestation, réalisée en collaboration avec des agences de cybersécurité européennes, met en évidence l’effort concerté pour faire face aux menaces émergentes dans le domaine numérique. Le GXC Team a […]

Les autorités espagnoles ont arrêté un homme de 25 ans accusé de diriger le GXC Team, un groupe qui se serait spécialisé dans la distribution de logiciels malveillants et d’outils d’intelligence artificielle à d’autres cybercriminels. Cette opération met en lumière la préoccupation croissante concernant la cybersécurité et l’activité de la criminalité cybernétique en Europe, surtout à mesure que les techniques de hacking deviennent plus sophistiquées.

Groupes de plus en plus courants

L’arrestation, réalisée en collaboration avec des agences de cybersécurité européennes, met en lumière l’effort concerté pour aborder les menaces émergentes dans le domaine numérique. L’équipe GXC a été mentionnée dans plusieurs enquêtes pour sa présumée implication dans des attaques informatiques qui ont touché à la fois des entreprises et des individus dans plusieurs pays. Les autorités soupçonnent que le détenu ne produisait pas seulement des malwares, mais qu’il offrait également ses services à la vente, ce qui a élargi la portée de sa criminalité à un niveau préoccupant.

L’arrestation de cette figure clé de l’équipe GXC intervient à un moment où les infractions cybernétiques sont en augmentation, augmentant la vulnérabilité des systèmes dans les infrastructures critiques et les entreprises de tous les secteurs. Dans ce contexte, les mesures de sécurité se sont intensifiées, et la coopération internationale commence à montrer des résultats dans la lutte contre la cybercriminalité.

Bien que l’arrestation ne soit qu’un maillon dans la chaîne du crime cybernétique, sa capture pourrait désarticuler une partie du réseau qui opère dans l’ombre d’internet. Maintenant, les autorités enquêtent davantage sur les connexions de l’équipe GXC et la possible participation d’autres personnes impliquées dans cette activité illicite. Les experts avertissent que la bataille contre la cybercriminalité est loin d’être terminée, suggérant que les structures criminelles peuvent s’adapter et évoluer rapidement.

Discord ne connaît pas de repos et commence à distribuer un nouveau cheval de Troie par le biais de messages directs

Les chercheurs en cybersécurité ont signalé un nouveau cheval de Troie basé sur Rust nommé ChaosBot, détecté initialement en septembre 2025 dans un environnement de services financiers. Ce malware permet aux opérateurs d’exécuter des commandes à distance sur des systèmes compromis et a été observé interagissant via des profils Discord. Les utilisateurs liés à cette activité sont ‘chaos_00019’ et ‘lovebb0024’. Ne jamais ouvrir de fichiers de profils inconnus ou de messages suspects ChaosBot se propage principalement par le biais de messages de phishing contenant un raccourci Windows malveillant. Lorsqu’un utilisateur ouvre le fichier, une commande PowerShell est exécutée qui télécharge […]

Les chercheurs en cybersécurité ont signalé un nouveau cheval de Troie basé sur Rust, nommé ChaosBot, détecté initialement en septembre 2025 dans un environnement de services financiers. Ce malware permet aux opérateurs d’exécuter des commandes à distance sur des systèmes compromis et a été observé interagissant via des profils Discord. Les utilisateurs liés à cette activité sont ‘chaos_00019’ et ‘lovebb0024’.

N’ouvrez jamais de fichiers de profils inconnus ou de messages suspects

ChaosBot se distribue principalement par le biais de messages de phishing contenant un raccourci Windows malveillant. Lorsque l’utilisateur ouvre le fichier, une commande PowerShell est exécutée pour télécharger le malware. Celui-ci se cache sous la forme d’un fichier DLL malveillant et cherche à établir un tunnel d’accès persistant au réseau compromis via un proxy inverse. Pendant son fonctionnement, le malware peut recevoir des instructions supplémentaires par le biais du canal Discord établi par les attaquants, ce qui améliore sa capacité de commande et de contrôle.

De plus, une variante de ransomware associée à Chaos a été identifiée, se distinguant par sa capacité à supprimer des fichiers au lieu de les chiffrer. Cette variante utilise également des techniques pour manipuler le presse-papiers, dans le but de rediriger des transferts de cryptomonnaies, augmentant ainsi sa dangerosité et sa complexité. Cette approche duale d’extorsion destructrice et de vol financier reflète un changement vers des tactiques plus agressives et multifacettes de la part des acteurs malveillants.

ChaosBot a prouvé qu’il est difficile à détecter, utilisant des techniques pour échapper à la surveillance sur les systèmes Windows, comme la modification de fonctions et la vérification des adresses MAC associées aux machines virtuelles. Les analystes avertissent que ce malware ne représente pas seulement une menace directe pour la sécurité des systèmes, mais aussi pour les finances des utilisateurs en affectant les plateformes de cryptomonnaies.

Discord TÉLÉCHARGER

Fais attention, car les chevaux de Troie se cachent même dans la recherche d'emploi

Un groupe de menaces vietnamien connu sous le nom de BatShadow a été identifié comme responsable d’une nouvelle campagne utilisant des tactiques d’ingénierie sociale pour tromper les chercheurs d’emploi et les professionnels du marketing digital. Les attaquants usurpent l’identité de recruteurs, distribuant des fichiers malveillants déguisés en descriptions de poste et en documents d’entreprise, dans le but d’infiltrer un malware non documenté appelé Vampire Bot. Attention aux recruteurs ! Selon un rapport des Aryaka Threat Research Labs, les attaquants utilisent des fichiers ZIP contenant de faux documents PDF ainsi que des fichiers exécutables déguisés en PDF. Lorsque les utilisateurs ouvrent ces […]

Un groupe de menaces vietnamien connu sous le nom de BatShadow a été identifié comme responsable d’une nouvelle campagne utilisant des tactiques d’ingénierie sociale pour tromper les chercheurs d’emploi et les professionnels du marketing digital. Les attaquants usurpent l’identité de recruteurs, distribuant des fichiers malveillants déguisés en descriptions de poste et documents d’entreprise, dans le but d’infiltrer un malware non documenté appelé Vampire Bot.

Attention aux recruteurs !

Selon un rapport des Aryaka Threat Research Labs, les attaquants utilisent des fichiers ZIP qui contiennent de faux documents PDF accompagnés de fichiers exécutables déguisés en PDF. Lorsque les utilisateurs ouvrent ces fichiers, une chaîne d’infection de malware basé sur Go s’active. Dans ce cas, le fichier exécutable déguisé en description de poste pour un poste de marketing chez Marriott déclenche un script PowerShell qui se connecte à un serveur externe pour télécharger d’autres fichiers malveillants, y compris un logiciel de connexion à distance.

Une tactique particulièrement insidieuse de ce groupe est que ils orientent les victimes à utiliser Microsoft Edge pour ouvrir un lien vers une prétendue description de poste. Cela se fait parce qu’Edge permet de poursuivre le processus d’infection, tandis que d’autres navigateurs comme Chrome bloquent certains scripts pour des raisons de sécurité.

Le malware Vampire Bot est capable de profiler l’hôte infecté, de voler des informations personnelles et de réaliser des captures d’écran à des intervalles configurables. De plus, il maintient une communication avec un serveur contrôlé par les attaquants pour exécuter des commandes supplémentaires. L’activité de BatShadow a été retracée jusqu’à des adresses IP précédemment liées à des hackers au Vietnam.

Ceci n’est pas la première tentative d’attaques ciblées contre des professionnels du marketing digital ; en octobre 2024, une campagne similaire a été signalée, utilisant Quasar RAT pour attaquer des chercheurs d’emploi via des e-mails de phishing. La sophistication des tactiques de BatShadow souligne la nécessité de rester vigilant face à de telles menaces dans un environnement de travail de plus en plus numérisé.

Discord confirme que les données de ses utilisateurs ont été compromises

Discord, la populaire plateforme de communication entre gamers, a confirmé qu’un fournisseur de services client tiers a été compromis, permettant aux attaquants d’accéder aux données des utilisateurs. Cet incident représente un risque significatif pour la vie privée et la sécurité des informations personnelles des utilisateurs de la plateforme. Vos données pourraient ne pas être en sécurité Selon la société, les attaquants ont non seulement réussi à accéder à des informations sensibles, mais ils ont également l’intention d’extorquer une somme d’argent en échange de ne pas divulguer les données obtenues. Ce type d’attaque met en évidence les vulnérabilités […]

Discord, la plateforme de communication populaire entre les gamers, a confirmé qu’un fournisseur de services client tiers a été compromis, permettant aux attaquants d’accéder aux données des utilisateurs. Cet incident représente un risque significatif pour la vie privée et la sécurité des informations personnelles des utilisateurs de la plateforme.

Vos données pourraient ne pas être en sécurité

Selon la société, les attaquants ont non seulement réussi à accéder à des informations sensibles, mais ils ont également l’intention d’extorquer une somme d’argent en échange de ne pas divulguer les données obtenues. Ce type d’attaque met en lumière les vulnérabilités qui peuvent exister dans les chaînes d’approvisionnement des entreprises technologiques, car il arrive souvent que l’on fasse confiance à des tiers pour gérer des informations critiques.

Les implications de cette attaque sont préoccupantes, étant donné que Discord compte des millions d’utilisateurs qui utilisent la plateforme pour communiquer, jouer et partager du contenu en ligne. La nature de l’accès illicite aux données soulève de sérieuses questions sur la capacité de l’entreprise à protéger les informations de ses utilisateurs. Il est fondamental que les plateformes de ce type mettent en œuvre des mesures de sécurité plus robustes, compte tenu du nombre croissant d’attaques cybernétiques dans l’industrie.

Discord a commencé une enquête interne pour évaluer l’ampleur de l’impact et travaille à notifier les utilisateurs concernés. De plus, la société a exhorté tous ses utilisateurs à rester vigilants face à toute activité suspecte pouvant survenir à la suite de cet incident. Au fil des ans, les attaques à la sécurité des données ont augmenté, et les organisations doivent s’adapter de manière proactive pour atténuer ces risques.

Cette attaque reflète également une tendance plus large dans le monde numérique, où les criminels sont de plus en plus disposés à menacer la sécurité personnelle des utilisateurs afin d’obtenir des bénéfices financiers. Dans ce contexte, le renforcement des mesures de cybersécurité devient plus crucial que jamais.

Discord TÉLÉCHARGER

Si tu as rencontré des échecs en essayant de te connecter à tes plateformes de jeux vidéo préférées, ce n'est pas de ta faute : elles ont subi une attaque DDoS massive

Une augmentation soudaine des rapports de pannes provenant de plateformes telles que Steam, Xbox, PlayStation, Riot Games et Epic a suscité des spéculations sur une possible attaque DDoS massive. Les enregistrements de Downdetector indiquent que ce pic de problèmes de connectivité s’est produit coïncidant autour de 23 heures ET le 6 octobre, ce qui a conduit les analystes à lier ces incidents comme faisant partie d’un même phénomène. Riot et Steam ont été les plus touchés. Riot Games, en particulier, a confirmé qu’il faisait face à des problèmes intermittents de réseau qui ont affecté sa populaire […]

Une augmentation soudaine des rapports de pannes provenant de plateformes telles que Steam, Xbox, PlayStation, Riot Games et Epic a suscité des spéculations sur une possible attaque DDoS massive. Les enregistrements de Downdetector indiquent que ce pic de problèmes de connectivité s’est produit de manière coïncidente vers 23h00 ET le 6 octobre, ce qui a conduit les analystes à lier ces incidents comme faisant partie d’un même phénomène.

Riot et Steam ont pris le pire

Riot Games, en particulier, a confirmé qu’il a rencontré des problèmes intermittents de réseau qui ont affecté son jeu populaire League of Legends et son shooter Valorant. Dans une déclaration, le porte-parole de Riot, Joe Hixson, a mentionné que son équipe a travaillé pour résoudre ces problèmes et qu’elle a pris des mesures proactives pour protéger l’expérience des joueurs, y compris la désactivation temporaire des files d’attente classées dans certaines régions et la mise en œuvre de compensations pour la perte de points de classement.

Les spéculations suggèrent que l’attaque pourrait avoir été lancée via le botnet Airsuru, connu pour mener des attaques DDoS à grande échelle. Selon un rapport de Cloudflare, le botnet Airsuru a réalisé des attaques qui sont deux fois plus volumineuses que tout ce qui a été observé auparavant sur le réseau, ce qui souligne la gravité de la situation actuelle.

Bien que la nature de l’attaque n’ait pas encore été confirmée officiellement, la coïncidence et l’ampleur des problèmes ont alimenté la théorie selon laquelle cela pourrait être une démonstration de pouvoir de la part des auteurs. Certains utilisateurs sur des plateformes comme Reddit suggèrent que cette apparente exhibition pourrait être destinée à démontrer la capacité d’affecter même des cibles qui sont traditionnellement considérées comme résilientes à de tels incidents.

Steam TÉLÉCHARGER

Comment les hackers peuvent nuire à votre SEO… ou même l'ont déjà fait !

Un groupe de cybercriminels de langue chinoise, connu sous le nom de UAT-8099, a été lié depuis avril 2025 à des fraudes dans l’optimisation des moteurs de recherche (SEO) et au vol de précieuses informations d’identification. Les attaques se sont principalement concentrées sur des serveurs Microsoft Internet Information Services (IIS), affectant des universités, des entreprises technologiques et des fournisseurs de télécommunications dans des pays comme l’Inde, la Thaïlande, le Vietnam, le Canada et le Brésil. Attention… même à votre SEO ! Ce groupe utilise une variété d’outils, tels que Cobalt Strike et BadIIS, ainsi que des scripts automatisés qui contournent les défenses de sécurité. Ces méthodes leur permettent de manipuler les classements SEO […]

Un groupe de cybercriminels de langue chinoise, connu sous le nom de UAT-8099, a été lié depuis avril 2025 à des fraudes en optimisation des moteurs de recherche (SEO) et au vol de précieuses informations d’identification. Les attaques se sont principalement concentrées sur des serveurs Microsoft Internet Information Services (IIS), touchant des universités, des entreprises technologiques et des fournisseurs de télécommunications dans des pays comme l’Inde, la Thaïlande, le Vietnam, le Canada et le Brésil.

Attention… même avec votre SEO !

Ce groupe utilise une variété d’outils, comme Cobalt Strike et BadIIS, ainsi que des scripts automatisés qui contournent les défenses de sécurité. Ces méthodes leur permettent de manipuler les classements SEO en chargeant des web shells sur des serveurs vulnérables. On a observé qu’une variante spécifique du malware s’adapte pour échapper à la détection par les logiciels antivirus et s’active lorsqu’elle détecte des requêtes provenant de Google.

Selon des rapports des chercheurs en cybersécurité, UAT-8099 manipule les classements de recherche en se concentrant sur des serveurs IIS de haute valeur et de bonne réputation dans les régions ciblées. La technique de lien (backlinking) qu’ils utilisent est conventionnelle, conçue pour augmenter la visibilité des sites web, mais elle comporte le risque de pénalités de la part de Google si la qualité de ces liens n’est pas adéquate.

Une fois qu’ils parviennent à compromettre un serveur, le groupe met en place des mesures pour maintenir le contrôle, comme activer l’accès aux comptes invités et utiliser le Protocole de Bureau à Distance (RDP) pour accéder aux serveurs IIS. Cette persistance leur permet de rechercher des données précieuses au sein des systèmes compromis, qui peuvent ensuite être revendues ou exploitées ultérieurement.

Bien qu’il ne soit pas clair combien de serveurs ont été compromis jusqu’à présent, la sophistication et l’adaptabilité du groupe UAT-8099 se distinguent dans la menace croissante des fraudes cybernétiques basées sur le SEO, ce qui soulève de sérieuses préoccupations concernant la sécurité des infrastructures numériques mondiales.

Ceci est le CometJacking : une nouvelle façon de te voler toutes tes données

Des chercheurs en cybersécurité ont révélé une nouvelle attaque appelée CometJacking, ciblant le navigateur Comet de Perplexity. Cette attaque repose sur l’injection de prompts malveillants dans des liens apparemment inoffensifs, permettant de voler des données sensibles de services connectés tels que Gmail et Calendrier. La menace s’active en cliquant sur un lien conçu, ce qui provoque l’exécution d’un prompt caché par le navigateur, capturant des informations personnelles et les envoyant à un serveur contrôlé par l’attaquant. Un problème de sécurité très grave La recherche a mis en évidence comment un seul lien empoisonné peut transformer un navigateur AI, qui se […]

Des chercheurs en cybersécurité ont révélé une nouvelle attaque appelée CometJacking, ciblant le navigateur Comet de Perplexity. Cette attaque repose sur l’injection de prompts malveillants dans des liens apparemment inoffensifs, permettant de voler des données sensibles de services connectés comme Gmail et Calendrier. La menace s’active en cliquant sur un lien conçu, ce qui provoque l’exécution d’un prompt caché par le navigateur, capturant des informations personnelles et les envoyant à un serveur contrôlé par l’attaquant.

Un problème de sécurité très grave

L’enquête a mis en évidence comment un seul lien piégé peut transformer un navigateur AI, considéré comme un assistant fiable, en une menace interne. Michelle Levy, responsable de la recherche en sécurité chez LayerX, a indiqué que « il ne s’agit pas seulement de voler des données ; il s’agit de détourner l’agent qui a déjà les clés ». Ce type d’attaque contourne les mesures de protection des données de Perplexity en utilisant des astuces simples d’obfuscation comme le codage Base64.

L’attaque CometJacking opère en cinq étapes : elle s’active lorsqu’une victime clique sur un lien malveillant, que ce soit dans un e-mail de phishing ou sur une page web. Au lieu de diriger l’utilisateur vers la destination prévue, le lien demande à l’intelligence artificielle du navigateur Comet d’exécuter un prompt caché qui capture les données de l’utilisateur et les envoie à un point final contrôlé par l’attaquant.

Bien que Perplexity ait classé les découvertes comme n’ayant « aucun impact sur la sécurité », la situation met en lumière les vulnérabilités inhérentes aux outils natifs d’intelligence artificielle. Les organisations doivent revoir et améliorer les contrôles pour détecter et neutraliser ces prompts malveillants, car les attaques peuvent se transformer en campagnes généralisées, transformant les navigateurs en points de contrôle à l’intérieur des réseaux d’entreprise.

Avast Antivirus Gratuit TÉLÉCHARGER

ProSpy et ToSpy : les dernières menaces de spyware déguisées en applications de messagerie

Des chercheurs de l’ESET ont récemment découvert deux familles de logiciels espions, identifiées comme ProSpy et ToSpy, qui se font passer pour des applications de messagerie populaires, Signal et ToTok, apparemment destinées aux résidents des Émirats arabes unis. Les experts ont révélé que ces campagnes de malware ont été détectées en juin, bien qu’elles soient considérées comme datant du début de l’année dernière. Faites très attention à ce que vous installez sur votre mobile. ToTok, qui avait été largement critiquée pour être un outil d’espionnage du gouvernement des ÉAU, a été interrompue en 2020 après une enquête du New York Times. Cependant, le logiciel espion […]

Des chercheurs d’ESET ont récemment découvert deux familles de spyware, identifiées comme ProSpy et ToSpy, qui se font passer pour des applications de messagerie populaires, Signal et ToTok, apparemment destinées aux résidents des Émirats Arabes Unis. Les experts ont révélé que ces campagnes de malware ont été détectées en juin, bien qu’on pense qu’elles datent du début de l’année dernière.

Faites très attention à ce que vous installez sur votre mobile

ToTok, qui avait été largement critiquée pour être un outil d’espionnage du gouvernement des Émirats Arabes Unis, a été interrompue en 2020 après une enquête du New York Times. Cependant, le logiciel espion se présente comme une version améliorée de cette application, appelée ToTok Pro. En téléchargeant ce malware, des autorisations sont demandées pour accéder aux contacts, aux messages texte et aux fichiers stockés, permettant la fuite d’informations sensibles, y compris des données de l’appareil et du contenu multimédia.

Il est important de noter que les applications infectées n’étaient pas disponibles dans les boutiques d’applications officielles. À la place, une installation manuelle depuis des sites tiers qui simulaient des services légitimes était requise. Par exemple, l’un de ces sites malveillants imitait le Galaxy Store de Samsung, incitant les utilisateurs à installer des versions frauduleuses de l’application ToTok.

Les détections confirmées de ce spyware aux Émirats Arabes Unis, ainsi que l’utilisation de techniques de phishing et de fausses boutiques d’applications, suggèrent que les attaquants mènent des opérations stratégiques centrées sur cette région. Ce n’est pas la première fois qu’un phénomène similaire est observé, car par le passé, ESET a documenté le cachage de malware dans de fausses mises à jour d’applications comme WhatsApp et sur des sites prétendant offrir Telegram.

Selon l’enquête d’ESET, étant donné que la popularité de l’application ToTok était concentrée aux Émirats Arabes Unis et en tenant compte des tactiques de phishing utilisées, il est raisonnable de penser que les utilisateurs de cette région sont la principale cible des campagnes de spyware.

Oracle pourrait avoir un grave problème de sécurité entre les mains sans confirmation

Des groupes d’attaquants associés au ransomware Clop ont commencé à envoyer des courriels aux clients d’Oracle, demandant des paiements de rançon et affirmant avoir volé des données de leur E-Business Suite. Bien que les enquêteurs n’aient pas confirmé la véracité de ces affirmations, plusieurs enquêtes sont en cours sur les environnements Oracle appartenant aux organisations qui ont reçu ces communications. Extorsion ou vol de données réel ? Selon Charles Carmakal, CTO de Mandiant Consulting, une campagne de courriels à fort volume a été observée, lancée depuis des centaines de comptes compromis. Les courriels contiennent des informations de contact et, curieusement, […]

Des groupes de cybercriminels associés au ransomware Clop ont commencé à envoyer des e-mails aux clients d’Oracle, demandant des paiements de rançon et affirmant avoir volé des données de leur E-Business Suite. Bien que les enquêteurs n’aient pas confirmé la véracité de ces affirmations, plusieurs enquêtes sont en cours sur les environnements Oracle appartenant aux organisations qui ont reçu ces communications.

Extorsion ou vol de données réel ?

Selon Charles Carmakal, CTO de Mandiant Consulting, une campagne de courriels à fort volume a été lancée depuis des centaines de comptes compromis. Les courriels contiennent des informations de contact et, curieusement, il a été vérifié que certaines des adresses fournies sont listées publiquement sur le site de fuite de données de Clop. Malgré cela, Clop n’a pas encore rendu publiques ses revendications sur ses plateformes de fuite.

La campagne d’extorsion a impliqué l’envoi d’e-mails adressés à des dirigeants d’entreprises depuis des comptes tiers compromis, débutant ou avant le 29 septembre. Genevieve Stark, responsable de l’analyse de l’intelligence sur la cybercriminalité au sein de Google Threat Intelligence Group, a commenté que, bien que les indices pointent vers Clop, il n’est pas clair si les revendications du groupe sont crédibles ni comment ils ont obtenu accès aux informations d’Oracle.

Bien que des efforts soient déployés pour déterminer l’authenticité de ces menaces, il n’y a actuellement aucune preuve d’un vol de données réussi ni de malware spécifique lié à cette campagne. Les communications d’extorsion exercent une pression sur les victimes pour qu’elles entament des négociations, mais ne contiennent pas de demandes concrètes. Des chercheurs travaillent en continu pour clarifier les détails de la manière dont cet accès possible à la E-Business Suite d’Oracle s’est produit et l’impact que cela pourrait avoir sur ses clients.

Avast Antivirus Gratuit TÉLÉCHARGER