Histoire en vedette
L’Europe connaît une augmentation des attaques de ransomware et d’extorsion de fonds
Résumé
Alors que les groupes de ransomware continuent d’opérer plus rapidement que jamais, les organisations européennes sont confrontées à une part de plus en plus importante des attaques, représentant près de 22 % des victimes mondiales de ransomware et d’extorsion.
Selon le « 2025 European Threat Landscape Report » de CrowdStrike, les entrées sur des sites de fuite dédiés (DLS) désignant des organisations basées en Europe ont bondi de près de 13 % d’une année sur l’autre, des groupes adverses comme Scattered Spider ayant réduit leur temps de déploiement à seulement 24 heures.
Le Royaume-Uni, l’Allemagne, la France, l’Italie et l’Espagne figurent parmi les pays les plus ciblés dans la région. Les secteurs les plus ciblés étaient l’industrie manufacturière, les services professionnels, la technologie, l’industrie et l’ingénierie, et le commerce de détail.
Akira, LockBit, RansomHub, INC, Lynx et Sinobi figurent parmi les groupes de ransomwares les plus performants depuis janvier 2024, en particulier dans cette région et pour les attaques de type « big-game hunting » (BGH).
Analyse de notre équipe SOCLesgroupes de ransomware déployant désormais des attaques dans les 24 heures et l’Europe représentant 22 % des victimes mondiales, les fenêtres de détection traditionnelles ne sont plus suffisantes. Les secteurs de la fabrication et des services professionnels sont les plus exposés, les attaquants privilégiant de plus en plus le vol de données au chiffrement.
Autres nouvelles
Les attaques de logiciels malveillants ClickFix évoluent avec la prise en charge de plusieurs systèmes d’exploitation et des tutoriels vidéo
Résumé
Les attaques ClickFix ont évolué et comprennent désormais des vidéos qui guident les victimes tout au long du processus d’auto-infection, un minuteur qui pousse les cibles à prendre des mesures risquées et une détection automatique du système d’exploitation pour fournir les commandes correctes.
Grâce à un JavaScript, l’auteur de la menace peut cacher les commandes et les copier automatiquement dans le presse-papiers de l’utilisateur, réduisant ainsi les risques d’erreur humaine.
Sur la même fenêtre, le défi comprenait un compte à rebours d’une minute qui incitait la victime à agir rapidement et lui laissait peu de temps pour vérifier l’authenticité ou la sécurité du processus de vérification.
Ces pages web ClickFix plus avancées sont promues principalement par le biais de la malversation sur Google Search.
En ce qui concerne les charges utiles livrées dans le cadre de ces attaques, les chercheurs ont remarqué qu’elles dépendaient du système d’exploitation, mais comprenaient l’exécutable MSHTA dans Windows, des scripts PowerShell et divers autres binaires hors sol.
Analyse de notre équipe SOCCettetechnique d’attaque contourne les contrôles de sécurité traditionnels en exploitant la confiance de l’utilisateur et la pression psychologique par le biais de comptes à rebours. La prise en charge de plusieurs systèmes d’exploitation et les tutoriels vidéo professionnels augmentent considérablement les taux de réussite, ce qui rend la détection au niveau du point de terminaison critique puisque les utilisateurs exécutent essentiellement le logiciel malveillant eux-mêmes.
Cisco met en garde contre une nouvelle attaque de pare-feu exploitant CVE-2025-20333 et CVE-2025-20362
Résumé
Cisco a révélé mercredi avoir pris connaissance d’une nouvelle variante d’attaque conçue pour cibler les appareils utilisant les logiciels Cisco Secure Firewall Adaptive Security Appliance (ASA) et Cisco Secure Firewall Threat Defense (FTD) qui sont sensibles à CVE-2025-20333 et CVE-2025-20362.
Cette attaque peut entraîner le rechargement inattendu d’appareils non corrigés, ce qui provoque un déni de service. Les deux vulnérabilités ont été divulguées fin septembre 2025, mais pas avant d’avoir été exploitées en tant que vulnérabilités de type « zero-day » dans des attaques diffusant des logiciels malveillants tels que RayInitiator et LINE VIPER.
Alors que l’exploitation réussie de CVE-2025-20333 permet à un attaquant d’exécuter du code arbitraire en tant que root à l’aide de requêtes HTTP élaborées, CVE-2025-20362 permet d’accéder à une URL restreinte sans authentification.
Analyse de notre équipe SOCSivotre organisation utilise les pare-feu Cisco ASA ou FTD, il est essentiel d’appliquer immédiatement les correctifs. Ces vulnérabilités étaient déjà exploitées en tant que zero-days avant leur divulgation, et la nouvelle variante d’attaque provoquant des conditions DoS indique une exploitation active continue. La combinaison de l’exécution de code arbitraire en tant que root et du contournement de l’authentification fait de ces dispositifs des cibles de grande valeur pour l’accès initial.
Investissement en ligne : attention aux fausses opportunités d’investissement
Résumé
Les fausses plateformes de trading prolifèrent actuellement sur l’internet. Les cybercriminels contactent les victimes par courrier électronique, médias sociaux, applications de rencontre ou messages textuels, les encourageant à commencer par investir une somme modeste (par exemple 250 euros), leur faisant croire qu’ils obtiendront des rendements élevés et les poussant à investir de plus en plus.
Certaines vous permettent de retirer un petit montant au début pour vous faire croire à l’arnaque. L’objectif est de vous inciter à investir de plus en plus sur ces fausses plateformes inexistantes.
Un jour, vous voulez retirer votre argent et rien n’est possible. Ils disparaissent avec votre argent.
Analyse de notre équipe SOC Lesconseils décrits dans l’article sont ceux que nous aimerions également souligner.
Ne cliquez jamais sur des liens dans des offres d’investissement non sollicitées et vérifiez toujours les plates-formes sur des sites officiels de réglementation financière tels que FSMA avant d’investir.
Les messages suspects peuvent être transférés à l’une des trois adresses e-mail de Safeonweb.
verdacht@safeonweb.be
suspect@safeonweb.be
suspicious@safeonweb.be
Notre SOC est également disponible pour vous aider en cas de doutes ou de suspicions concernant des messages textuels ou postaux.