Storm-1175 exploite une faille critique de GoAnywhere MFT dans des attaques par ransomware

Un groupe cybercriminel connu sous le nom de Storm-1175 exploite depuis au moins le 11 septembre une vulnérabilité critique dans GoAnywhere MFT, CVE-2025-10035, dans le cadre de campagnes de ransomware Medusa. Cette faille, causée par une faiblesse de désérialisation dans le License Servlet de Fortra, permet des attaques à distance de faible complexité sans interaction de l’utilisateur.
Bien que Fortra ait publié un correctif le 18 septembre, les chercheurs ont identifié plus de 500 instances exposées en ligne, sans savoir combien restent non corrigées. Une semaine après la publication, la faille était déjà activement exploitée, avec des preuves d’une utilisation en zero-day depuis le 10 septembre.
Microsoft a confirmé que Storm-1175 avait utilisé la faille pour obtenir un accès initial, maintenu ensuite via SimpleHelp et MeshAgent. Le groupe a mené des activités de reconnaissance, s’est déplacé latéralement via Remote Desktop, a exfiltré des données avec Rclone et déployé le ransomware Medusa. Microsoft et Fortra exhortent les administrateurs à mettre à jour immédiatement et à vérifier les journaux pour détecter d’éventuels signes de compromission.

Des millions d’utilisateurs en danger alors que Microsoft met fin au support de Windows 10 la semaine prochaine

Environ 5 millions d’utilisateurs britanniques sont exposés à des risques cyber accrus, Microsoft mettant fin au support de Windows 10 le 14 octobre, selon l’organisation de consommateurs Which?. Sur les 21 millions d’utilisateurs estimés au Royaume-Uni, un sur quatre prévoit de continuer à utiliser ce système obsolète, les rendant vulnérables aux malwares, virus et escroqueries. Plus d’un tiers de ceux qui n’envisagent aucune action ont plus de 55 ans.
Cette décision contribuera également à l’augmentation des déchets électroniques, des millions de PC devenant obsolètes s’ils ne peuvent pas exécuter de logiciels plus récents. Microsoft incite les utilisateurs à passer à Windows 11 lorsque c’est possible ou à acheter une extension d’un an pour faciliter la transition.
Yusuf Mehdi, vice-président exécutif de Microsoft, a averti que les appareils non pris en charge seront plus vulnérables aux cybermenaces et que certaines applications pourraient cesser de fonctionner correctement. Les utilisateurs sont invités à vérifier leurs systèmes immédiatement afin d’éviter toute exposition aux attaques.

Le groupe Clop exploite une vulnérabilité zero-day dans oracle ebs pour voler des données

Le groupe de ransomware Clop exploite une vulnérabilité zero-day critique dans Oracle E-Business Suite (EBS) depuis début août, selon CrowdStrike. Référencée sous CVE-2025-61882, cette faille affecte le composant BI Publisher Integration et permet à des attaquants non authentifiés d’exécuter du code à distance sur des systèmes vulnérables via des attaques de faible complexité sans interaction utilisateur. Oracle a publié un correctif le week-end dernier.
Les chercheurs ont découvert que cette faille fait partie d’une chaîne de vulnérabilités permettant l’exécution de code à distance via une seule requête HTTP. L’exploit avait été initialement divulgué en ligne en mai par le groupe Scattered Lapsus$ Hunters.
CrowdStrike a confirmé que Clop avait utilisé cette faille zero-day pour voler des documents sensibles, avec une première exploitation remontant au 9 août. Les analystes estiment que GRACEFUL SPIDER est probablement impliqué, mais avertissent que d’autres groupes pourraient également exploiter cette faille. Les enquêtes sont en cours.

Salesforce refuse de payer une rançon après de vastes vols de données

Salesforce a confirmé qu’il ne négocierait pas et ne paierait aucune rançon aux auteurs des campagnes de vol massif de données ciblant ses clients. Dans un e-mail envoyé aux clients, l’entreprise a cité des « renseignements crédibles » indiquant que les attaquants prévoyaient de publier les données volées. Le groupe Scattered Lapsus$ Hunters a lancé un site de fuite de données pour extorquer 39 grandes organisations, dont FedEx, Disney, Marriott, Google, Cisco et IKEA, affirmant détenir près d’un milliard d’enregistrements.
Les données volées proviennent de deux campagnes menées en 2025. La première reposait sur l’ingénierie sociale pour inciter les employés à connecter des applications OAuth malveillantes aux instances Salesforce. La seconde, en août, impliquait l’utilisation de jetons OAuth volés de SalesLoft pour exfiltrer des données CRM de centaines d’entreprises, y compris de grands acteurs technologiques.
Le refus de Salesforce intervient alors que le site d’extorsion a été mis hors ligne, avec des indices laissant penser à une possible intervention des forces de l’ordre. Les enquêtes se poursuivent.

Les cyberattaques sur les chaînes d’approvisionnement augmentent dans un contexte de fortes perturbations économiques

Près d’un tiers des dirigeants d’entreprise ont signalé une augmentation des cyberattaques contre leurs chaînes d’approvisionnement au cours des six derniers mois, selon une enquête du Chartered Institute of Procurement and Supply (Cips). Les menaces cyber sont rapidement devenues une préoccupation majeure pour les responsables des achats dans les secteurs de la fabrication, de l’énergie et de la technologie, rivalisant avec les tensions géopolitiques et les différends tarifaires parmi les principaux risques commerciaux.
Des incidents très médiatisés ont mis en évidence la gravité de la menace. L’arrêt d’un mois de Jaguar Land Rover à la suite d’une cyberattaque aurait coûté environ 120 millions de livres en bénéfices, tandis que les récentes violations chez Marks & Spencer et Co-op ont entraîné des pertes de plusieurs dizaines de millions. Au Japon, Asahi a été contraint d’interrompre la production dans 30 usines en raison d’une panne de système.
L’enquête du Cips a révélé que 29 % des responsables ont signalé des attaques contre des entreprises de leurs chaînes d’approvisionnement. L’organisation a exhorté les entreprises à renforcer leurs défenses numériques pour protéger leurs opérations et maintenir la confiance des clients dans des réseaux commerciaux mondiaux de plus en plus interconnectés.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger des menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bien contactez-nous pour découvrir comment vous pouvez protéger votre organisation.

Le bulletin d'information sur les menaces a été préparé par Integrity360 et résume l'actualité des menaces telle que nous l'observons à la date de publication. Il ne doit pas être considéré comme un avis juridique, consultatif ou professionnel. Toute recommandation doit être examinée dans le contexte de votre propre organisation. Integrity360 n'adopte aucune position politique dans les informations que nous partageons. De plus, les opinions exprimées ne reflètent pas nécessairement le point de vue d'Integrity360.