Des conseils londoniens touchés par une cyberattaque provoquant des perturbations majeures des services

Trois conseils municipaux de Londres ont été contraints d’activer des mesures d’urgence après qu’une cyberattaque a provoqué d’importantes perturbations des services sur des systèmes informatiques partagés. Le Royal Borough of Kensington and Chelsea et le Westminster City Council ont confirmé que plusieurs systèmes internes ont été affectés, notamment les lignes téléphoniques et les services de contact en ligne, entraînant des arrêts préventifs afin de limiter les dommages supplémentaires et de protéger les données des résidents. En raison d’une infrastructure partagée, le London Borough of Hammersmith and Fulham a également mis en œuvre des mesures de protection supplémentaires, ce qui a entraîné d’autres perturbations opérationnelles.

Les autorités ont indiqué qu’elles travaillent en étroite collaboration avec des spécialistes de la réponse aux incidents cybernétiques ainsi qu’avec le National Cyber Security Centre. Les enquêtes sur l’attaque sont en cours et, bien qu’aucun groupe de menaces n’ait publiquement revendiqué la responsabilité, les experts en sécurité estiment que l’incident pourrait impliquer un ransomware lié à un fournisseur de services tiers. L’Information Commissioner’s Office a été informé et les résidents sont tenus informés au fur et à mesure que les systèmes sont progressivement restaurés.

L’attaque de la chaîne d’approvisionnement Shai-Hulud passe de npm à Maven, exposant des milliers de développeurs

Une deuxième vague de l’attaque de la chaîne d’approvisionnement Shai-Hulud s’est étendue au-delà de npm et a désormais atteint l’écosystème Maven, mettant en évidence les risques croissants pour les chaînes d’approvisionnement de logiciels open source. Les chercheurs ont identifié un paquet Maven malveillant, org.mvnpm:posthog-node:4.18.1, qui reflète les mêmes composants furtifs utilisés précédemment dans des bibliothèques npm compromises. Bien que le paquet n’ait pas été publié directement par le projet d’origine, il a été généré automatiquement par un système qui reconditionne les modules npm en artefacts Maven. Toutes les copies infectées connues ont désormais été supprimées.

L’attaque est conçue pour voler des données sensibles, notamment des identifiants de cloud, des clés API et des jetons GitHub et npm, tout en permettant une compromission plus profonde des environnements de développement. Plus de 28 000 dépôts ont été touchés, avec des milliers de secrets exposés. Le malware utilise des techniques avancées d’évasion, des workflows CI malveillants et l’auto-réplication pour se propager rapidement. Les équipes de sécurité exhortent à une rotation immédiate des clés, à des audits de dépendances et au durcissement des environnements CI/CD.

Une cyberattaque contre le fournisseur CodeRED prive des villes américaines de leur service d’alerte d’urgence

Des villes et communes à travers les États-Unis ont perdu l’accès au système d’alerte d’urgence CodeRED à la suite d’une cyberattaque contre le fournisseur Crisis24. La plateforme est utilisée pour envoyer des messages de sécurité publique en temps réel, notamment des alertes météo, des signalements de personnes disparues et des incidents de sécurité. De nombreuses municipalités ont publié des avis presque identiques confirmant la perturbation du service après la violation.

Le comté de Douglas, dans le Colorado, a résilié son contrat et recherche un fournisseur alternatif, tandis que d’autres autorités attendent que Crisis24 finalise le travail sur une nouvelle plateforme censée fonctionner dans un environnement séparé et non compromis. Plusieurs régions ont temporairement basculé vers des notifications via les réseaux sociaux ou des communications en porte-à-porte.

Crisis24 a confirmé que des données personnelles, notamment des noms, adresses, emails, numéros de téléphone et mots de passe, ont été consultées. Il a été conseillé aux résidents de modifier leurs mots de passe, en particulier s’ils ont été réutilisés ailleurs. Le groupe de ransomware INC a revendiqué la responsabilité, publié des échantillons de données volées et menacé de vendre les informations restantes après l’échec des négociations de rançon.

CISA met en garde contre des campagnes d’espionnage ciblant les applications de messagerie avec des logiciels espions

La U.S. Cybersecurity and Infrastructure Security Agency a émis un avertissement indiquant que des acteurs malveillants utilisent activement des logiciels espions commerciaux et des chevaux de Troie d’accès à distance pour cibler les utilisateurs d’applications de messagerie mobile populaires. Selon l’agence, les attaquants emploient des techniques d’ingénierie sociale hautement ciblées pour détourner des comptes et accéder à des communications privées, avant de déployer des malwares supplémentaires afin de compromettre entièrement les appareils des victimes.

Les campagnes récentes incluent des tentatives de prise de contrôle de comptes Signal via la fonction d’appareils liés, des opérations de spyware Android comme ProSpy, ToSpy et ClayRat, ainsi que l’exploitation ciblée de vulnérabilités auparavant inconnues dans des appareils iOS, WhatsApp et Samsung. Ces attaques reposent souvent sur des codes QR de liaison d’appareils, des exploits « zero-click » et des versions falsifiées d’applications de confiance.

L’activité vise principalement des individus de grande valeur, notamment des responsables gouvernementaux, du personnel militaire et des acteurs de la société civile aux États-Unis, en Europe et au Moyen-Orient. La CISA a exhorté les utilisateurs à risque à adopter des méthodes d’authentification plus robustes, à sécuriser leurs comptes mobiles et à mettre régulièrement à jour leurs appareils afin de réduire l’exposition.

Le FBI alerte sur une forte hausse des fraudes par prise de contrôle de comptes liées à l’usurpation d’identité bancaire

Le FBI a signalé une augmentation significative des fraudes par prise de contrôle de comptes, des criminels ayant volé plus de 262 millions de dollars depuis le début de l’année en se faisant passer pour des institutions financières. L’Internet Crime Complaint Center a reçu plus de 5 100 signalements de ces attaques, qui ont touché des particuliers, des entreprises et des organisations dans de nombreux secteurs.

Dans ces stratagèmes, les acteurs malveillants utilisent le phishing, de faux sites web et l’ingénierie sociale pour inciter les victimes à fournir leurs identifiants de connexion et des codes à usage unique. Une fois l’accès obtenu, les criminels transfèrent rapidement les fonds vers des comptes liés à des portefeuilles de cryptomonnaies, puis modifient les mots de passe afin de bloquer les véritables titulaires des comptes. La récupération est souvent extrêmement difficile en raison de la rapidité des transferts et de l’utilisation des cryptomonnaies.

Le FBI a exhorté les utilisateurs à surveiller de près leurs comptes financiers, à utiliser des mots de passe forts et uniques, à activer l’authentification multifactorielle et à n’accéder aux sites bancaires qu’au moyen de favoris fiables. Il a été conseillé aux victimes de contacter immédiatement leur banque, de demander le rappel des fonds et de signaler les incidents via les canaux officiels.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger des menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bien contactez-nous pour découvrir comment vous pouvez protéger votre organisation.

Le bulletin d'information sur les menaces a été préparé par Integrity360 et résume l'actualité des menaces telle que nous l'observons à la date de publication. Il ne doit pas être considéré comme un avis juridique, consultatif ou professionnel. Toute recommandation doit être examinée dans le contexte de votre propre organisation. Integrity360 n'adopte aucune position politique dans les informations que nous partageons. De plus, les opinions exprimées ne reflètent pas nécessairement le point de vue d'Integrity360.