Histoire en vedette

Un nouvel outil de destruction de l’EDR utilisé par huit groupes de ransomware différents

Un nouvel outil de destruction d’EDR, succédant à EDRKillShifter et attribué à RansomHub, a été adopté par huit gangs de ransomwares : RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx et INC. L’outil utilise des binaires obscurcis et se fait passer pour des pilotes légitimes tels que le CrowdStrike Falcon Sensor Driver afin de désactiver des outils AV/EDR tels que Microsoft Defender, SentinelOne, McAfee et d’autres.

Analyse SOC : Il s’agit d’un changement important dans la collaboration et les capacités des acteurs de la menace. Les organisations doivent aller au-delà de la confiance dans les terminaux en mettant en œuvre une détection basée sur le réseau, des politiques strictes de signature des pilotes et une liste blanche des applications afin de garantir des défenses multicouches.

Autres histoires

Android reçoit des correctifs pour les failles de Qualcomm exploitées dans les attaques

La mise à jour Android 2025 de Google comprend des correctifs pour six vulnérabilités, dont deux failles critiques du GPU Qualcomm – CVE-2025-21479 et CVE-2025-27038 – sont déjà activement exploitées. Ces failles entraînent une corruption de la mémoire et peuvent permettre à des acteurs menaçants d’élever leurs privilèges sur des appareils compromis.

Analyse SOC : Ces vulnérabilités posent de sérieux risques en matière de BYOD. Les appareils Android personnels contournent souvent les politiques de sécurité de l’entreprise, ce qui en fait une cible de choix. Promouvez des mises à jour régulières et des campagnes de sensibilisation auprès des employés pour réduire l’exposition mobile.

L’escalade des privilèges dans Amazon ECS permet le détournement de l’IAM (ECScape)

Une vulnérabilité récemment révélée dans Amazon ECS, appelée ECScape, pourrait permettre aux attaquants de détourner les rôles IAM et d’accéder à d’autres ressources cloud à partir de la même instance EC2. Découverte par Naor Haziz, la faille provient d’une gestion interne peu sûre des informations d’identification entre les tâches ECS.

Analyse SOC : ECScape met en évidence les faiblesses de l’isolation des nuages. Les organisations qui utilisent ECS devraient appliquer une segmentation forte au niveau des conteneurs et auditer toutes les transitions de rôles IAM. La surveillance proactive est essentielle pour détecter les mouvements latéraux.

Campagne de phishing visant les utilisateurs de Proximus Skynet Email

Une campagne de phishing cible les clients de Proximus avec des adresses e-mail Skynet.be, les avertissant faussement que leurs comptes e-mail seront supprimés dans les heures qui suivent. Le ton urgent et l’usurpation d’identité de la marque rendent cette campagne très convaincante, en particulier pour les utilisateurs moins sensibilisés à la sécurité.

Analyse SOC : Cette attaque démontre l’utilisation de l’image de marque d’un fournisseur d’accès pour établir la confiance et créer l’urgence. Il convient de rappeler aux utilisateurs de ne jamais cliquer sur des messages urgents sans en avoir vérifié la légitimité. Signalez les courriels suspects à