DragonForce pirate MSP 🐉, MATLAB paralysé ⚡️, Laundry Bear cible l’OTAN 🐻

A la une aujourd’hui:

  • MATLAB Frappé par une Attaque de Ransomware Affectant Plus de 5 Millions d’Utilisateurs
  • DragonForce exploite les vulnérabilités de SimpleHelp pour orchestrer des attaques en chaîne contre des MSP
  • Découverte d’un nouveau groupe d’espionnage Russe : Laundry Bear cible les infrastructures critiques occidentales
  • Firefox : Une faille critique dans libvpx permet l’exécution de code sans interaction
  • Le spécialiste du stationnement Indigo, première victime française des cybercriminels de World Leaks

MATLAB Frappé par une Attaque de Ransomware Affectant Plus de 5 Millions d’Utilisateurs

Points Clés :

  • MathWorks, développeur de MATLAB et Simulink, a subi une attaque de ransomware le 18 mai 2025
  • Les systèmes informatiques internes et les services clients ont été gravement affectés
  • La restauration progressive des services est en cours, mais certaines fonctionnalités restent indisponibles

Description :

MathWorks, créateur des logiciels MATLAB et Simulink, fait face aux conséquences d’une importante attaque par ransomware débutée le 18 mai 2025. L’incident a perturbé les systèmes informatiques internes et les services clients, nécessitant l’intervention immédiate des forces de l’ordre et d’experts en cybersécurité. Au 27 mai, plusieurs services ont été restaurés, mais certains restent dégradés ou hors ligne.

Pourquoi c’est important :

Cette attaque souligne la vulnérabilité persistante des entreprises technologiques face aux ransomwares, même pour des acteurs majeurs servant des millions d’utilisateurs. L’incident perturbe l’accès à des outils essentiels pour les ingénieurs, chercheurs et étudiants du monde entier. Il rappelle l’importance cruciale de solides protocoles de sécurité, de sauvegardes régulières et de plans de reprise après sinistre pour toutes les organisations.

DragonForce exploite les vulnérabilités de SimpleHelp pour orchestrer des attaques en chaîne contre des MSP

Points Clés :

  • Le groupe DragonForce a compromis un prestataire de services managés (MSP) via la plateforme SimpleHelp pour attaquer ses clients
  • Les attaquants ont exploité trois vulnérabilités dans l’outil de gestion à distance SimpleHelp pour voler des données et déployer des ransomwares
  • DragonForce gagne en notoriété après des attaques contre des détaillants britanniques et développe un modèle de ransomware-as-a-service

Description :

Le groupe de ransomware DragonForce a réussi à compromettre un fournisseur de services managés en exploitant des vulnérabilités dans la plateforme SimpleHelp. Les attaquants ont utilisé cet accès pour effectuer de la reconnaissance, voler des données et déployer des ransomwares sur les systèmes des clients en aval, illustrant une stratégie d’attaque en chaîne d’approvisionnement ciblant des MSP.

Pourquoi c’est important :

Les chaînes d’approvisionnement informatiques sont des attaques où un seul point d’entrée peut compromettre de nombreuses organisations. Les MSP représentent des cibles particulièrement lucratives pour les cybercriminels, car leur compromission permet d’atteindre simultanément plusieurs entreprises.

Découverte d’un nouveau groupe d’espionnage Russe : Laundry Bear cible les infrastructures critiques occidentales

Points Clés :

  • Un nouveau groupe de cyberespionnage lié au Kremlin, nommé Laundry Bear/Void Blizzard, opère depuis avril 2024
  • Le groupe cible la police néerlandaise, les États membres de l’OTAN et des entreprises technologiques occidentales
  • Les attaquants utilisent des identifiants volés et ont récemment ajouté le typosquattage (faute de frappe lorsque l’utilisateur entre une URL) à leur arsenal

Description :

Les services de renseignement néerlandais et l’entreprise Microsoft ont identifié un nouveau groupe d’espionnage russe, baptisé Laundry Bear ou Void Blizzard, qui mène des opérations de cyberespionnage contre diverses organisations occidentales depuis avril 2024. Ce groupe cible principalement les secteurs gouvernementaux, la défense, l’aérospatiale et les technologies de pointe, en utilisant des identifiants volés pour accéder aux systèmes et extraire des données sensibles.

Pourquoi c’est important :

Cette découverte révèle l’évolution continue des capacités cyber offensives russes, avec un nouveau groupe distinct des acteurs déjà connus comme APT28/Fancy Bear. Leur ciblage des infrastructures critiques et des organisations liées à l’OTAN représente une menace significative pour la sécurité nationale des pays occidentaux et des alliés de l’Ukraine.

Firefox : Une faille critique dans libvpx permet l’exécution de code sans interaction

Points Clés :

  • Mozilla a publié des mises à jour d’urgence pour corriger une vulnérabilité critique (CVE-2025-5262) dans Firefox
  • La faille permet l’exécution de code arbitraire sans aucune interaction de l’utilisateur
  • Le problème affecte la bibliothèque libvpx utilisée pour le décodage vidéo WebRTC

Description :

Mozilla a corrigé une vulnérabilité critique de type double-free dans la bibliothèque libvpx de Firefox. Cette faille, présente dans la fonction vpx_codec_enc_init_multi lors de l’initialisation de l’encodeur WebRTC, permet à des attaquants d’exécuter du code arbitraire simplement en amenant les victimes à visiter un site malveillant, sans aucune autre interaction nécessaire.

Pourquoi c’est important :

Cette vulnérabilité est particulièrement dangereuse car elle ne nécessite aucune action de l’utilisateur au-delà de la navigation normale. Avec un score CVSS de 9.8, elle affecte plusieurs versions de Firefox et pourrait être exploitée à grande échelle. Des vulnérabilités similaires dans libvpx ont déjà été activement exploitées par des fournisseurs de logiciels de surveillance commerciale.

Le spécialiste du stationnement Indigo, première victime française des cybercriminels de World Leaks

Points Clés :

  • Le groupe de cybercriminels World Leaks revendique le vol de 1,5 téraoctets de données chez Indigo
  • World Leaks serait un rebranding du groupe Hunters International, se concentrant sur l’extorsion sans chiffrement
  • Les cybercriminels proposent un explorateur de fichiers en ligne pour consulter les données volées

Description :

Le groupe français Indigo, spécialiste du stationnement, a été victime d’une intrusion informatique revendiquée par World Leaks. C’est la première victime française de ce groupe qui aurait déjà attaqué deux autres organisations européennes. Les experts de Group IB et Lexfo estiment que World Leaks est en réalité une nouvelle identité du groupe Hunters International, l’un des plus actifs en 2024.

Pourquoi c’est important :

Cette attaque illustre l’évolution des tactiques des cybercriminels qui se concentrent désormais sur l’extorsion sans nécessairement chiffrer les données. Leur approche industrialisée inclut un logiciel d’exfiltration prétendument indétectable et un système de consultation en ligne des données volées. Les experts mettent en garde contre le paiement de rançons qui ne garantit nullement la suppression des données compromises.