Amérique du Nord
District scolaire communautaire de South Lyon
Les cybercriminels continuent de s'en prendre aux établissements scolaires américains à un rythme alarmant. La dernière victime en date, le district scolaire de South Lyon, a été contrainte de fermer ses établissements à la suite d'une attaque par ransomware.
Découverte le 14 septembre, cette attaque s'est avérée être le résultat d'une infection par un rançongiciel perpétrée par un groupe bien connu, bien que les autorités n'aient pas encore révélé son nom. Bien qu'il n'y ait aucune preuve que les données des étudiants ou du personnel enseignant aient été compromises, l'attaque a paralysé les systèmes téléphoniques et plusieurs sous-systèmes connexes, notamment ceux utilisés en cas d'urgence, comme lors d'interventions face à un tireur actif.
Cette attaque fait partie des nombreuses attaques qui perturbent le fonctionnement des établissements scolaires à l'échelle nationale. Il est inquiétant de constater que, selon l'organisation à but non lucratif Center for Internet Security (CIS), 82 % des établissements scolaires de la maternelle à la terminale ont été victimes d'un incident cybernétique entre juillet 2023 et décembre 2024.
SourceComment cela pourrait-il affecter votre entreprise ?
Les attaques par ransomware visant les établissements d'enseignement sont désormais monnaie courante, et le coût de la prévention est bien inférieur à celui d'un incident réel. Une stratégie fiable de sauvegarde et de restauration des données peut aider les établissements scolaires à sécuriser leurs données sensibles et à maintenir leur fonctionnement normal, même en cas de perturbations majeures comme celle-ci.
Royaume-Uni
Harrods
Le grand magasin de luxe londonien Harrods a révélé que les données personnelles de 430 000 clients avaient été compromises à la suite d'une violation de données. Dans un e-mail envoyé à ses clients le 26 septembre, l'entreprise a averti que des données personnelles avaient pu être dérobées après que l'un des systèmes de ses prestataires tiers eut été piraté.
Harrods a déclaré que l'incident s'était limité aux informations de base, notamment les noms, les coordonnées et les préférences marketing. L'entreprise a souligné que les mots de passe des comptes et les informations de paiement n'avaient pas été compromis. Bien que les pirates aient tenté de contacter l'entreprise, Harrods a refusé d'entrer en contact ou de négocier avec le groupe de pirates informatiques.
L'entreprise a précisé qu'il s'agissait d'un « incident isolé » sans lien avec un autre incident survenu en mai, lors duquel elle avait restreint l'accès à Internet sur l'ensemble de ses sites à la suite d'une tentative d'intrusion. Cela marque néanmoins une nouvelle attaque dans la vague de cyberincidents qui a récemment visé des entreprises britanniques de premier plan.
Comment cela pourrait-il affecter votre entreprise ?
Les pirates informatiques qui cherchent à dérober les données des clients ciblent de plus en plus les chaînes de magasins. La protection des informations personnelles doit être une priorité absolue, car même une fuite de données de faible ampleur peut nuire à la confiance des clients et à la réputation de la marque.
Amérique du Nord
Une agence FCEB dont le nom n'est pas mentionné
L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) a révélé la semaine dernière que des cybercriminels avaient piraté l'année dernière une agence fédérale civile relevant du pouvoir exécutif (FCEB) dont le nom n'a pas été divulgué, en exploitant une faille critique dans son serveur de cartographie open source GeoServer.
Bien que l'attaque ait eu lieu sur l'un des serveurs de l'agence le 9 juillet 2024, l'outil de détection et de réponse aux incidents sur les terminaux (EDR) de l'agence n'a alerté son centre des opérations de sécurité (SOC) que trois semaines plus tard. Pendant ce laps de temps, les cybercriminels ont utilisé des techniques de force brute pour voler des mots de passe, élever leurs privilèges et se déplacer latéralement afin de compromettre deux autres serveurs.
Cette faille critique, qui permet l'exécution de code à distance (RCE), a été révélée le 30 juin 2024, avec un score CVSS de 9,8. Cette attaque s'est produite à peine deux semaines après cette révélation. À la suite de cette intrusion, la CISA a exhorté les équipes chargées de la sécurité au sein des différentes organisations à surveiller de près les alertes EDR signalant des activités suspectes et à renforcer leurs plans d'intervention en cas d'incident afin de contenir plus rapidement les intrusions.
SourceComment cela pourrait-il affecter votre entreprise ?
Cet incident montre à quelle vitesse les pirates peuvent exploiter de nouvelles failles pour compromettre un réseau et s'y déplacer latéralement sans être détectés. Il est essentiel de disposer d'un centre d'opérations de sécurité (SOC) performant pour détecter les menaces à un stade précoce et les contenir avant qu'elles ne se propagent.
Amérique du Nord
Cisco
Les agences de cybersécurité du monde entier, notamment la CISA et le Centre national de cybersécurité (NCSC) du Royaume-Uni, ont mis en garde contre un « acteur malveillant sophistiqué » qui cible activement les appareils équipés du logiciel pare-feu Adaptive Security Appliances (ASA) de Cisco.
Selon les agences, cette campagne « à grande échelle » exploite des vulnérabilités de type « zero-day » dans des équipements Cisco, permettant ainsi aux pirates d'exécuter du code malveillant et de déployer des logiciels malveillants. Les équipements concernés comprennent certains appareils de la série Cisco ASA 5500-X, qui servent de pare-feu pour protéger les réseaux d'entreprise contre les intrusions.
Dans un communiqué, les analystes de Cisco ont déclaré avoir « une forte certitude » que cette campagne soit liée à ArcaneDoor, un acteur malveillant soutenu par un État que le fournisseur avait identifié pour la première fois en 2024. Dans une directive d'urgence publiée jeudi dernier, la CISA a ordonné aux équipes de cybersécurité gouvernementales de localiser tous les appareils concernés en un peu plus d'une journée, de les analyser à la recherche d'activités malveillantes et d'appliquer les mises à jour de sécurité destinées à corriger ces vulnérabilités.
SourceComment cela pourrait-il affecter votre entreprise ?
Les exploits de type « zero-day » visant des équipements réseau critiques, tels que les pare-feu, peuvent offrir aux pirates un accès direct aux systèmes d'entreprise. Les entreprises doivent traiter ces vulnérabilités comme une priorité absolue, en veillant à appliquer rapidement les correctifs, à assurer une surveillance constante et à mettre en place des défenses multicouches afin de réduire les risques d'espionnage et de vol de données.
Amérique du Nord
Volvo Amérique du Nord
Volvo Amérique du Nord a révélé une fuite de données concernant les informations personnelles de ses employés après qu'une attaque par ransomware a touché son fournisseur tiers, Miljödata.
L'attaque par ransomware, qui s'est produite le 20 août, a touché au moins 25 organisations, dont Volvo North America, la compagnie aérienne scandinave SAS et plus de 200 municipalités suédoises. L'attaque visait des systèmes utilisés pour la gestion des certificats médicaux, des dossiers de rééducation et des accidents du travail. Les données exposées comprenaient les noms des employés, leurs numéros de sécurité sociale, leurs adresses e-mail, leurs adresses postales, leurs numéros de téléphone, leurs numéros d'identité, leurs dates de naissance et leur sexe.
Un groupe de ransomware baptisé DataCarry a revendiqué l'attaque contre Miljödata et aurait déjà publié les données volées sur son site de divulgation Tor.
SourceComment cela pourrait-il affecter votre entreprise ?
Les attaques par ransomware visant des fournisseurs tiers peuvent rapidement se propager à plusieurs organisations, exposant ainsi des données sensibles bien au-delà de la cible initiale. Les entreprises doivent évaluer les risques liés à la chaîne d'approvisionnement, imposer des normes de sécurité strictes à leurs fournisseurs et veiller à ce que les données partagées avec leurs partenaires soient correctement protégées.
Amérique du Sud
Maida.health
Dans le cadre d'une nouvelle fuite de données impliquant un tiers, la société brésilienne de technologies de la santé Maida.health aurait exposé plus de 2 To de données sensibles liées à la police militaire du pays.
Cette entreprise, qui gère des logiciels de facturation, de gestion des demandes de remboursement et de téléconsultation pour les prestataires de soins de santé, dont la police militaire brésilienne, aurait subi une violation de données ayant compromis 2,3 To d'informations. Les données exposées comprendraient notamment des diagnostics médicaux, des numéros d'identification et des informations personnelles concernant des membres de la police militaire, ce qui soulève de sérieuses inquiétudes quant à la sécurité des informations relatives à la défense du pays. Plus alarmant encore, les données volées ont été mises en vente sur un forum clandestin.
SourceComment cela pourrait-il affecter votre entreprise ?
Le secteur de la santé reste une cible privilégiée des cybercriminels en raison des données personnelles et médicales sensibles qu'il détient. Les violations de ce type peuvent entraîner des usurpations d'identité, des fraudes et des préjudices à long terme tant pour les particuliers que pour les organisations.
