Un ransomware perturbe les opérations numériques du port espagnol de Vigo

Une attaque par ransomware a perturbé les systèmes numériques du port espagnol de Vigo, mettant hors ligne certaines parties de son réseau et ramenant certaines opérations à des processus manuels. Détecté tôt mardi, l'incident a touché les serveurs responsables de la gestion du fret et des services portuaires, avec des rapports confirmant une demande de rançon et des systèmes cryptés.

L'autorité portuaire a réagi en isolant les infrastructures touchées afin de contenir la menace, tandis que les opérations physiques telles que les mouvements de navires et la manutention du fret se poursuivent. Toutefois, la coordination logistique a été considérablement affectée, les opérateurs s'appuyant sur des flux de travail sur papier.

Le président du port, Carlos Botana, a confirmé que les systèmes ne seront pas rétablis tant que les équipes de sécurité n'auront pas la certitude que la menace a été totalement éradiquée. Des enquêtes sont en cours pour déterminer le point d'accès initial et évaluer toute compromission potentielle des données.

Cette attaque met en évidence l'attention croissante portée par les groupes de ransomware aux infrastructures maritimes, car l'interruption des ports peut avoir des conséquences immédiates et de grande ampleur sur les chaînes d'approvisionnement mondiales.

Un paquet LiteLLM malveillant alimente une violation majeure de la chaîne d'approvisionnement

Une attaque importante de la chaîne d'approvisionnement a compromis le paquetage Python LiteLLM largement utilisé, les versions malveillantes exposant les organisations à un vol d'informations d'identification à grande échelle et à une compromission potentielle du système. L'attaque, attribuée au groupe TeamPCP, a vu des versions altérées de LiteLLM déployées via PyPI, ce qui a eu un impact sur une bibliothèque utilisée des millions de fois par jour.

Les paquets malveillants introduisaient des charges utiles cachées conçues pour s'exécuter à l'importation, récoltant des données sensibles, notamment des clés SSH, des identifiants cloud, des secrets Kubernetes et des variables d'environnement. Des variantes plus avancées ont assuré la persistance en intégrant des portes dérobées qui s'activent chaque fois que Python s'exécute, permettant un accès continu et un mouvement latéral à travers les environnements.

Les premiers rapports suggèrent que jusqu'à 500 000 appareils pourraient avoir été affectés, bien que les chiffres ne soient pas encore vérifiés. Cette campagne fait suite à des activités antérieures de TeamPCP ciblant des outils tels que Trivy, mettant en évidence un modèle d'exploitation de logiciels de confiance dans le pipeline de développement.

L'incident renforce le risque croissant d'attaques de la chaîne d'approvisionnement des logiciels, où une seule dépendance compromise peut se répercuter sur des milliers d'organisations, exposant des systèmes, des données et des infrastructures critiques à grande échelle.

Pour en savoir plus, consultez notre avis sur les menaces

Une cyberattaque touche les systèmes du ministère néerlandais des finances

Le ministère néerlandais des finances a confirmé qu'une cyberattaque avait touché ses systèmes internes, un accès non autorisé ayant été détecté à la suite d'une alerte lancée par un tiers le 19 mars. Une enquête est en cours, et les autorités confirment que certains employés ont été touchés et que l'accès aux systèmes concernés a été restreint par précaution.

Il semblerait que la faille concerne des systèmes utilisés par des départements politiques, bien que les services nationaux essentiels n'aient pas été affectés. Les autorités ont confirmé que la collecte des impôts, les opérations douanières et les systèmes de prestations continuent de fonctionner normalement, sans perturber les citoyens ou les entreprises.

À ce stade, l'ampleur de l'incident reste incertaine, et il n'a pas été confirmé si des données sensibles ont été consultées ou exfiltrées. Aucun acteur n'a revendiqué la responsabilité de l'incident.

Cet incident fait suite à une série de cyber-événements visant des institutions néerlandaises, ce qui met en évidence la pression continue exercée sur les systèmes gouvernementaux. Au fur et à mesure que les enquêtes se poursuivent, l'accent sera mis sur l'identification du vecteur d'attaque, l'évaluation de l'impact et le renforcement des contrôles afin d'éviter toute nouvelle compromission.

Les données d'AstraZeneca auraient été volées et mises en vente sur le dark web

Un groupe de pirates informatiques a affirmé avoir pénétré dans les systèmes informatiques d'AstraZeneca, exfiltrant environ 3 Go de données sensibles et tentant de les vendre sur le dark web. Le groupe, identifié sous le nom de LAPSUS$, aurait publié des échantillons de fichiers pour valider la violation, bien que l'entreprise n'ait pas encore confirmé l'incident.

Les données présumées comprennent le code source, les détails de l'infrastructure en nuage, les enregistrements liés aux employés et les identifiants d'accès. Bien qu'aucune donnée client ne soit supposée être en cause, l'exposition de systèmes internes et d'informations liées à l'identité pourrait présenter des risques importants pour la sécurité. Même en l'absence d'identifiants actifs, ces données peuvent permettre le phishing ciblé, l'escalade des privilèges et d'autres tentatives d'intrusion.

Les chercheurs en sécurité préviennent que, si elle est vérifiée, cette intrusion pourrait avoir de graves conséquences pour le secteur des soins de santé, où la propriété intellectuelle et les données opérationnelles sont des cibles de grande valeur. Il est à noter que les attaquants semblent monnayer les données directement plutôt que d'utiliser les tactiques traditionnelles de ransomware.

Cet incident reflète une évolution plus générale de la stratégie des cybercriminels, le vol et la revente de données devenant une menace de plus en plus importante pour les entreprises.

Foster City USA déclare l'état d'urgence après une cyberattaque qui perturbe les services

La ville de Foster City a déclaré l'état d'urgence à la suite d'une cyberattaque qui a contraint les autorités à mettre l'ensemble de son réseau hors ligne, ce qui a gravement perturbé les activités municipales. Si les services d'urgence restent opérationnels, les fonctions essentielles de la mairie, notamment les systèmes de communication et de délivrance des permis, ont été paralysées.

Les autorités n'ont pas révélé l'étendue de la faille, ni les données qui ont pu être consultées ou compromises. Toutefois, il a été conseillé aux habitants et aux entreprises de modifier leurs mots de passe par mesure de précaution. Le manque de détails a créé une incertitude quant à l'ampleur et à l'impact de l'incident.

Le personnel municipal est actuellement dans l'incapacité d'envoyer ou de recevoir des courriels ou de passer des appels, ce qui met en évidence les perturbations opérationnelles causées par l'attaque. Les autorités travaillent avec des experts externes en cybersécurité pour enquêter sur l'incident et restaurer les systèmes, mais aucun calendrier n'a été communiqué.

La déclaration d'urgence permet d'accéder à des fonds et des ressources supplémentaires, ce qui souligne la gravité de la perturbation et l'impact croissant que les cyberincidents peuvent avoir sur les opérations du secteur public.

La faille de Crunchyroll liée à des systèmes de support tiers affecte 6,8 millions d'utilisateurs

La plateforme de streaming d'anime Crunchyroll enquête sur une brèche signalée après que des acteurs menaçants ont affirmé avoir accédé à des données concernant jusqu'à 6,8 millions d'utilisateurs. La société a déclaré que l'incident semble se limiter aux données des tickets du service clientèle suite à une compromission impliquant un fournisseur tiers.

Selon les rapports, les attaquants ont obtenu un accès via le compte d'un agent d'assistance, qui aurait été compromis par un logiciel malveillant, permettant d'entrer dans plusieurs systèmes internes, y compris Zendesk et les outils de collaboration de l'entreprise. Les auteurs de la menace affirment avoir exfiltré des millions de dossiers d'assistance contenant des informations sur les utilisateurs telles que les adresses électroniques, les données IP et les demandes d'assistance.

Crunchyroll maintient qu'il n'y a aucune preuve d'un accès continu et que des enquêtes avec des experts externes en cybersécurité sont en cours. Bien que l'exposition des données de paiement semble limitée, l'incident met en évidence les risques associés aux informations sensibles stockées dans les systèmes d'assistance.

Cette violation souligne la menace croissante que représentent les attaques contre des fournisseurs tiers, où la compromission d'un seul compte peut donner accès à d'importants volumes de données sur les clients et les organisations sur des plates-formes interconnectées.

Une vulnérabilité critique du PLM déclenche des alertes urgentes dans toute l'Europe

PTC a révélé une vulnérabilité critique affectant ses plateformes Windchill et FlexPLM, suscitant des inquiétudes quant à l'exécution potentielle de codes à distance dans les systèmes de gestion du cycle de vie des produits largement déployés. Répertoriée sous le nom de CVE-2026-4681, la faille provient d'une désérialisation non sécurisée de données de confiance et affecte plusieurs versions prises en charge.

Bien qu'aucune exploitation active n'ait été confirmée, les autorités allemandes ont pris l'initiative inhabituelle de lancer des avertissements directs, en personne, aux organisations, soulignant ainsi l'immédiateté de la menace. Des rapports indiquent que les forces de l'ordre ont contacté des entreprises dans tout le pays, les exhortant à prendre rapidement des mesures d'atténuation.

Aucun correctif officiel n'étant encore disponible, PTC a conseillé aux organisations de mettre en place des contrôles temporaires, notamment en limitant l'accès aux composants vulnérables ou en déconnectant les systèmes concernés d'Internet si nécessaire. Des indicateurs de compromission ont également été publiés pour faciliter la détection des menaces.

Compte tenu du rôle essentiel que jouent les systèmes PLM dans les chaînes de fabrication, d'ingénierie et d'approvisionnement, cette vulnérabilité présente un risque important. Cette réponse souligne l'inquiétude croissante que suscite l'exploitation des logiciels d'entreprise à des fins d'espionnage industriel et de perturbation à grande échelle.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bienprenez contact avec nouspour savoir comment protéger votre organisation.

Le Threat Intel Roundup a été préparé par Integrity360 et résume l'actualité des menaces telle que nous l'observons, à la date de publication. Il ne doit pas être considéré comme un avis juridique, un conseil ou tout autre avis professionnel. Toute recommandation doit être considérée dans le contexte de votre propre organisation. Integrity360 ne prend aucune position politique dans les informations qu'elle partage. En outre, les opinions exprimées ne sont pas nécessairement celles d'Integrity360.