États-Unis
cabinets d'avocats américains
Google et le FBI ont mis en garde les cabinets d'avocats américains contre un groupe de cybercriminels spécialisés dans les rançongiciels qui a intensifié ses méthodes en envoyant, dans certains cas, de faux techniciens informatiques directement dans les bureaux des victimes.
Le 5 juin, Mandiant (filiale de Google) et le Google Threat Intelligence Group ont publié un rapport détaillant les attaques menées par le groupe Silent Ransom entre janvier et mai, qui ont visé des dizaines d’organisations. Selon ce rapport, le groupe a eu recours à un accès physique, en personne, pour faciliter ses attaques, notamment en infiltrant des agents au sein des organisations, en soudoyant des employés et en s’introduisant dans des immeubles de bureaux afin de mener à bien ses opérations cybernétiques.
Le mois dernier encore, le FBI a signalé que le groupe « Silent Ransom » ciblait des cabinets d’avocats par le biais de campagnes de hameçonnage et d’ingénierie sociale, en se faisant passer pour des techniciens informatiques. Dans certains cas, les pirates auraient envoyé de faux techniciens informatiques dans les bureaux des victimes, où ils se sont connectés aux appareils des employés et ont utilisé des clés USB ou des outils d’accès à distance pour dérober des contrats, des numéros de Sécurité sociale, des documents financiers et des informations fiscales.
SourceComment cela pourrait-il affecter votre entreprise ?
Se faire passer pour un membre du service informatique ou du support technique est une tactique de plus en plus courante utilisée par les cybercriminels pour accéder à des systèmes et à des données sensibles. Sous prétexte de résoudre un problème technique ou de sécurité, les attaquants gagnent la confiance de leurs cibles et les persuadent de participer à des sessions de partage d’écran. Ils tentent ensuite de contourner les contrôles de sécurité en convainquant les victimes d’installer un logiciel d’accès à distance ou d’utiliser les fonctionnalités de partage d’écran intégrées à des applications telles que Zoom et Microsoft Teams. Les utilisateurs doivent toujours vérifier l’identité et la légitimité de toute personne demandant l’accès à leurs appareils ou à leurs informations sensibles avant d’entreprendre la moindre action.
Amérique du Nord
L'écosystème des développeurs de Microsoft
Une attaque rapide visant la chaîne d'approvisionnement, liée au ver « Miasma », a frappé l'écosystème des développeurs de Microsoft le 5 juin, se propageant via des dépôts de code associés aux outils cloud Azure.
GitHub a désactivé 73 dépôts appartenant à quatre organisations Microsoft sur GitHub après qu’un commit malveillant a été poussé vers le dépôt « Azure/durabletask » à l’aide d’un compte de contributeur précédemment piraté. L’attaque a consisté à insérer des fichiers de configuration conçus pour exécuter une charge utile visant à voler des identifiants lorsque les développeurs ouvraient le dépôt à l’aide d’outils tels que Claude Code, Gemini CLI, Cursor ou Visual Studio Code. Cette campagne visait spécifiquement les relations de confiance et les capacités d’automatisation qui sont de plus en plus intégrées dans les workflows modernes de développement logiciel.
Cet incident semble constituer la dernière évolution de la campagne « Miasma », une opération visant la chaîne d'approvisionnement et reposant sur un logiciel malveillant autoreproductible lié à l'acteur malveillant TeamPCP.
SourceComment cela pourrait-il affecter votre entreprise ?
Les attaques par la chaîne d'approvisionnement ne cessent de se multiplier, les cybercriminels ciblant de plus en plus les référentiels logiciels de confiance, les outils de développement et les composants tiers afin d'atteindre un plus grand nombre de victimes. Étant donné qu'une seule compromission peut se répercuter en cascade sur plusieurs organisations, ces attaques peuvent avoir des répercussions considérables sur l'ensemble de l'écosystème logiciel. Les organisations doivent renforcer leurs processus de révision du code, mettre en place des contrôles d'accès stricts pour les référentiels, surveiller en permanence les pipelines CI/CD à la recherche d'activités suspectes et auditer régulièrement les dépendances tierces afin de réduire le risque de compromission.
Amérique du Nord
Dashlane
La plateforme de sécurité des identifiants Dashlane a révélé que des pirates avaient mis la main sur au moins une douzaine de coffres cryptés utilisés par ses clients pour stocker leurs mots de passe et autres identifiants sensibles.
Selon l'entreprise, des pirates ont réussi à contourner par force brute son système d'authentification à deux facteurs, ce qui leur a permis d'accéder à environ 20 comptes clients. En contournant le mécanisme d'authentification, les pirates ont pu télécharger des copies des coffres cryptés de certains clients. Dashlane a indiqué avoir informé les clients concernés dont les coffres cryptés ont été consultés et téléchargés par les pirates.
Dashlane a par la suite confirmé que son enquête sur cet incident était terminée et a établi que les pirates avaient ciblé les points de terminaison API utilisés pour l'enregistrement des appareils. Selon l'entreprise, les auteurs de l'attaque ont recouru à une attaque par force brute pour envoyer un volume important de requêtes automatisées vers ces points de terminaison, ce qui leur a permis d'accéder à un nombre limité de comptes clients.
SourceComment cela pourrait-il affecter votre entreprise ?
Une attaque par force brute, également appelée « credential stuffing », se produit lorsque des cybercriminels utilisent un grand nombre de combinaisons de noms d'utilisateur et de mots de passe pour obtenir un accès non autorisé à des comptes. De tels incidents soulignent l'importance de l'authentification multifactorielle, qui ajoute une couche de sécurité supplémentaire même en cas de compromission des identifiants. Les organisations doivent également encourager l'utilisation de mots de passe forts et uniques, et surveiller toute activité de connexion inhabituelle afin d'empêcher tout accès non autorisé.
États-Unis
Colina Financial Advisors Limited
Le groupe de ransomware Incransom a ajouté Colina Financial Advisors Limited (CFAL) à la liste de ses victimes sur son site dédié aux fuites de données le 3 juin.
Colina Financial Advisors Limited, dont le siège se trouve aux Bahamas, est une société indépendante spécialisée dans la gestion de patrimoine et le conseil en investissement, qui constitue la branche d'investissement de Colina Holdings Ltd. L'attaque aurait eu lieu le 1er juin et aurait donné lieu au vol d'environ 500 Go de données hautement confidentielles. Les informations compromises comprendraient notamment des données personnelles identifiables des clients, leurs profils financiers et des données sur leurs actifs, des informations commerciales exclusives, des données système, des documents relatifs à la planification successorale et juridique, ainsi que des dossiers de conformité réglementaire.
La divulgation de profils financiers sensibles des clients et de documents relatifs à la planification successorale engendre un risque important de fraude ciblée, d'ingénierie sociale et d'autres activités malveillantes visant les clients du cabinet.
SourceComment cela pourrait-il affecter votre entreprise ?
Si vos données sont compromises lors d’incidents de ce type, il est important de rester vigilant face aux tentatives potentielles d’hameçonnage, à l’usurpation d’identité et aux opérations financières non autorisées. Il est recommandé aux particuliers de surveiller de près leurs comptes financiers afin de détecter toute transaction suspecte, de vérifier régulièrement leurs relevés de compte et d’envisager de faire inscrire une alerte à la fraude sur leurs rapports de solvabilité afin de détecter et de prévenir toute utilisation abusive de leurs données personnelles.
États-Unis
Eversource Energy
Les données personnelles des habitants du Connecticut, du Massachusetts et du New Hampshire ont été divulguées à la suite d'attaques par hameçonnage et d'ingénierie sociale visant Eversource Energy.
Eversource Energy, anciennement Northeast Utilities, a déclaré que des attaques par hameçonnage et d'ingénierie sociale avaient conduit à la compromission de deux comptes d'employés en avril. Grâce à ces comptes, les cybercriminels ont pu accéder aux informations personnelles de plus de 3 000 clients. L'entreprise a indiqué avoir informé les autorités de régulation des services publics des trois États concernés, ainsi que les forces de l'ordre au niveau fédéral et des États, mais n'a pas divulgué d'autres détails concernant cet incident.
Les informations compromises lors de cette violation varient d'un client à l'autre et peuvent inclure les noms, les adresses postales et de service, les informations relatives aux comptes, les numéros de téléphone, les adresses e-mail, les numéros de Sécurité sociale, les numéros de permis de conduire et les informations relatives aux comptes financiers.
SourceComment cela pourrait-il affecter votre entreprise ?
Cet incident montre comment une seule attaque par hameçonnage réussie peut exposer des informations sensibles sur les clients et engendrer des risques en aval, tant pour les organisations que pour les particuliers. Les entreprises doivent renforcer la sensibilisation de leurs utilisateurs, mettre en place une authentification multifactorielle et surveiller en permanence toute activité suspecte sur les comptes. Les clients touchés par de telles violations doivent rester vigilants face aux communications non sollicitées et vérifier les demandes d'informations personnelles ou financières avant d'y répondre.


