Le Health Service Executive irlandais offre 750 € en compensation aux victimes de la cyberattaque de 2021

Quatre ans après l’attaque par ransomware Conti qui a paralysé le système de santé irlandais, le HSE a commencé à proposer 750 € de compensation aux personnes touchées, ainsi que 650 € pour les frais juridiques. Le cabinet O’Dowd Solicitors, qui représente plus de 100 victimes, a confirmé les premières offres, les qualifiant d’étape significative reconnaissant la responsabilité du HSE.
L’incident de 2021 reste la plus grande cyberattaque jamais menée contre un système de santé, exposant les données de près de 100 000 patients et employés. Plus de 620 actions judiciaires sont toujours en cours, et le HSE affirme avoir largement investi dans ses capacités de cybersécurité depuis l’attaque.

Microsoft corrige 57 vulnérabilités, dont trois zero-days, dans le Patch Tuesday de décembre 2025

Le dernier Patch Tuesday de l’année apporte des correctifs pour 57 failles de sécurité, dont une activement exploitée et deux zero-days divulguées publiquement. Trois des vulnérabilités sont classées critiques en raison du risque d'exécution de code à distance.
La correction la plus urgente concerne CVE-2025-62221, une faille d’élévation de privilèges dans le Windows Cloud Files Mini Filter Driver pouvant accorder des droits SYSTEM. Microsoft a également corrigé CVE-2025-64671, une faille d’injection de commande dans GitHub Copilot pour JetBrains, ainsi que CVE-2025-54100, une vulnérabilité PowerShell permettant l’exécution non souhaitée de scripts via Invoke-WebRequest.
Adobe, Fortinet, Google, Ivanti, React et SAP ont également publié des mises à jour importantes.

La police espagnole arrête un jeune de 19 ans accusé d’avoir volé 64 millions de données personnelles

La Police nationale espagnole a arrêté à Barcelone un jeune homme de 19 ans soupçonné d’avoir piraté neuf entreprises et volé 64 millions d’enregistrements personnels, qu’il tentait ensuite de vendre sur des forums pirates. Le suspect a été localisé à Igualada, où des ordinateurs et des portefeuilles de cryptomonnaie ont été saisis.
Les données volées incluaient noms, adresses, e-mails, numéros de téléphone, numéros DNI et même codes IBAN. Dans une affaire distincte, la cyberpolice ukrainienne a arrêté un jeune de 22 ans ayant développé un malware pour compromettre automatiquement des comptes en ligne et gérant une botnet de 5 000 profils.

Fortinet, Ivanti et SAP publient des correctifs urgents pour des vulnérabilités critiques

Fortinet a corrigé les vulnérabilités CVE-2025-59718 et CVE-2025-59719 (score CVSS 9.8), permettant à un attaquant non authentifié de contourner la connexion SSO de FortiCloud via des messages SAML falsifiés.
Ivanti a corrigé une faille critique de XSS stocké (CVE-2025-10573) dans Endpoint Manager, permettant l’injection de JavaScript malveillant dans les tableaux de bord administratifs.
SAP a publié des correctifs pour 14 vulnérabilités, dont trois critiques, notamment une faille d’injection de code (score 9.9) dans SAP Solution Manager. Les organisations doivent appliquer ces correctifs sans délai.

Hausse marquée des attaques ransomware visant les hyperviseurs, menée par le groupe Akira

Les chercheurs de Huntress alertent sur une forte augmentation des attaques ransomware ciblant les hyperviseurs : de 3 pour cent au premier semestre à 25 pour cent au second. Les attaquants ciblent ces plateformes pour obtenir un contrôle étendu sur toutes les machines virtuelles.
Huntress a observé des cas où le ransomware est déployé directement via l’hyperviseur, contournant complètement les protections des endpoints. D’autres attaques impliquent la manipulation de paramètres Hyper-V, la désactivation de protections et la préparation d’attaques à grande échelle. Les experts recommandent de renforcer l’authentification multifactorielle, le patching, les listes d’autorisation et la surveillance des journaux d’hyperviseur.

Acteurs nord-coréens suspectés dans l’exploitation avancée de React2Shell

Selon Sysdig, certaines des attaques les plus sophistiquées exploitant React2Shell (CVE-2025-55182) pourraient être attribuées à des acteurs nord-coréens. La vulnérabilité permet l’exécution de code à distance sans authentification et affecte React 19 ainsi que des frameworks comme Next.js et RedwoodSDK. Environ 70 000 systèmes seraient vulnérables.
Les chercheurs ont identifié l’utilisation d’EtherRAT, un implant persistant utilisant des smart contracts Ethereum pour le C2 et plusieurs mécanismes de persistance Linux. Son chargeur chiffré rappelle celui de malware associé aux campagnes Contagious Interview liées à la Corée du Nord.
Bien que l’attribution ne soit pas encore définitive, de nombreux éléments indiquent le groupe Lazarus ou un acteur apparenté exploitant React2Shell comme nouveau vecteur d’intrusion.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger des menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bien contactez-nous pour découvrir comment vous pouvez protéger votre organisation

Le bulletin d'information sur les menaces a été préparé par Integrity360 et résume l'actualité des menaces telle que nous l'observons à la date de publication. Il ne doit pas être considéré comme un avis juridique, consultatif ou professionnel. Toute recommandation doit être examinée dans le contexte de votre propre organisation. Integrity360 n'adopte aucune position politique dans les informations que nous partageons. De plus, les opinions exprimées ne reflètent pas nécessairement le point de vue d'Integrity360.