L'attaque par un logiciel malveillant de type "wiper" frappe le géant mondial des technologies médicales Stryker

L'entreprise de technologie médicale Stryker Corporation a subi une cyberattaque majeure après qu'un logiciel malveillant destructeur de type "wiper" a perturbé les systèmes de son réseau mondial. L'attaque a été revendiquée par le groupe hacktiviste pro-palestinien Handala Hack Team, dont on pense généralement qu'il est lié au ministère iranien du renseignement et de la sécurité.

Selon le groupe, les attaquants ont volé environ 50 téraoctets de données avant d'effacer plus de 200 000 systèmes, serveurs et appareils mobiles. Le personnel de plusieurs régions, dont les États-Unis, l'Irlande, le Costa Rica et l'Australie, a signalé que les ordinateurs portables et les appareils mobiles enregistrés dans les systèmes de gestion de l'entreprise ont été réinitialisés à distance pendant la nuit.

Cette perturbation a contraint les bureaux de dizaines de pays à suspendre leurs activités normales, certains sites revenant à des processus manuels après avoir perdu l'accès aux applications et services internes.

Stryker a confirmé l'incident dans un document réglementaire, indiquant que l'attaque a provoqué une perturbation globale de son environnement Microsoft. La société a activé son plan d'intervention en cas d'incident cybernétique et collabore avec des spécialistes externes de la cybersécurité pour enquêter sur les systèmes touchés et les restaurer.

Le Patch Tuesday de Microsoft corrige 79 failles de sécurité

Microsoft a publié ses mises à jour du Patch Tuesday de mars 2026, qui corrigent 79 failles de sécurité dans l'ensemble de son écosystème logiciel, y compris deux failles zero-day divulguées publiquement. Bien qu'aucune de ces failles n'ait été exploitée dans le cadre d'attaques actives, les organisations sont invitées à accorder la priorité aux correctifs en raison de la gravité potentielle de plusieurs problèmes.

Parmi les vulnérabilités corrigées figurent 46 failles d'élévation de privilèges, 18 bogues d'exécution de code à distance, ainsi que de multiples vulnérabilités de divulgation d'informations et de déni de service. Deux des correctifs les plus notables concernent un problème d'élévation de privilèges du serveur SQL (CVE-2026-21262) qui pourrait permettre à des attaquants d'obtenir les droits de SQLAdmin, et une vulnérabilité de déni de service .NET.

Microsoft a également corrigé deux failles d'exécution de code à distance de Microsoft Office qui peuvent être déclenchées par le volet de prévisualisation, ce qui rend les mises à jour d'Office particulièrement importantes pour ce cycle. En outre, une vulnérabilité dans Excel pourrait potentiellement permettre l'exfiltration de données via Microsoft Copilot si elle était exploitée.

Outre les mises à jour de Microsoft, plusieurs autres fournisseurs ont publié des avis de sécurité ce mois-ci, notamment Adobe, Cisco, Fortinet, Google, Hewlett Packard Enterprise et SAP. Il est conseillé aux organisations de revoir rapidement les correctifs afin de réduire les risques.

La technique "Zombie Zip" échappe à la détection antivirus

Des chercheurs en sécurité ont révélé une nouvelle technique appelée "Zombie ZIP" qui permet de dissimuler des charges utiles malveillantes à l'intérieur d'archives ZIP spécialement conçues pour échapper à de nombreux antivirus et outils de détection des points d'extrémité. La méthode développée par les chercheurs contournerait 50 des 51 moteurs de sécurité testés sur VirusTotal.

La technique consiste à manipuler les en-têtes des fichiers ZIP de manière à ce que les scanners de sécurité croient que l'archive contient des données non compressées. En réalité, la charge utile reste compressée à l'aide de l'algorithme standard Deflate. Comme de nombreux outils antivirus se fient aux informations de l'en-tête, ils analysent ce qui semble être des données brutes inoffensives, ce qui permet au contenu malveillant de ne pas être détecté.

Les outils d'extraction standard tels que WinRAR et 7-Zip ne parviennent généralement pas à extraire ces fichiers, affichant souvent des erreurs ou des résultats corrompus. Cependant, un chargeur spécialement conçu peut ignorer l'en-tête trompeur et décompresser correctement la charge utile cachée.

La vulnérabilité, répertoriée sous le nom de CVE-2026-0866, a suscité un avertissement du centre de coordination CERT, qui conseille aux fournisseurs de sécurité de renforcer l'inspection des archives et de valider plus soigneusement les méthodes de compression. Les utilisateurs sont également invités à traiter avec prudence les fichiers ZIP inattendus.

Des pirates ciblent des sites salesforce experience cloud mal configurés

Salesforce a averti ses clients que des pirates ciblent des sites Web Experience Cloud mal configurés qui permettent aux utilisateurs invités d'accéder à plus de données que prévu. L'activité se concentre sur le point de terminaison /s/sfsites/aura API, où des autorisations d'utilisateur invité mal configurées peuvent permettre à des visiteurs non authentifiés d'interroger les données sensibles de Salesforce CRM.

Selon l'avis, les attaquants utilisent une version modifiée d'AuraInspector, un outil d'audit open-source développé à l'origine par Mandiant pour identifier les problèmes de configuration dans le cadre de Salesforce Aura. Les acteurs de la menace ont adapté l'outil pour effectuer des analyses à grande échelle des sites Experience Cloud exposés publiquement, à la recherche d'autorisations excessives pour les invités.

Le groupe de cybercriminels ShinyHunters revendique la responsabilité de cette campagne et affirme avoir compromis des centaines d'organisations en exploitant ces mauvaises configurations.

Salesforce maintient qu'il ne s'agit pas d'une vulnérabilité de la plateforme, mais du résultat de configurations incorrectes de la part des clients. L'entreprise invite les organisations à vérifier les autorisations des utilisateurs invités, à désactiver les accès API inutiles et à appliquer le principe du moindre privilège afin de réduire le risque d'exposition des données.

La campagne de logiciels malveillants BlackSanta cible les équipes de RH

Des chercheurs en sécurité ont mis au jour une cybercampagne de longue haleine ciblant les services des ressources humaines au moyen d'une souche de logiciels malveillants sophistiqués connue sous le nom de BlackSanta. Selon un rapport d'Aryaka, l'acteur russophone à l'origine de cette opération est actif depuis plus d'un an, combinant ingénierie sociale et techniques d'évasion avancées pour infiltrer les systèmes des entreprises.

La chaîne d'attaque commencerait par des courriels de spear-phishing incitant les victimes à télécharger des fichiers ISO déguisés en demandes d'emploi hébergées sur des plateformes en nuage telles que Dropbox. Une fois ouverts, les fichiers malveillants déclenchent des scripts PowerShell qui extraient du code caché par stéganographie et l'exécutent directement dans la mémoire du système.

L'un des éléments clés de la campagne est le BlackSanta EDR killer, conçu pour désactiver les outils de sécurité des terminaux avant de déployer d'autres charges utiles. Le logiciel malveillant modifie les paramètres de Microsoft Defender, supprime les alertes système et met fin aux processus de sécurité au niveau du noyau en utilisant des pilotes vulnérables.

Selon les chercheurs, l'opération démontre une forte sécurité opérationnelle, en utilisant des chaînes d'infection furtives et des contrôles d'environnement pour éviter la détection tout en maintenant une persistance à long terme à l'intérieur des réseaux ciblés.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bienprenez contact avec nouspour savoir comment protéger votre organisation.

Le Threat Intel Roundup a été préparé par Integrity360 et résume l'actualité des menaces telle que nous l'observons, à la date de publication. Il ne doit pas être considéré comme un avis juridique, un conseil ou tout autre avis professionnel. Toute recommandation doit être considérée dans le contexte de votre propre organisation. Integrity360 ne prend aucune position politique dans les informations qu'elle partage. En outre, les opinions exprimées ne sont pas nécessairement celles d'Integrity360.