Double extorsion ransomware : mécanique des revendications et divulgation de données volées
📰 Source : LeMagIT — publié le 28 mars 2026
Contexte L’article traite du processus de double extorsion, désormais une pratique standard dans l’écosystème ransomware. Il décrit les étapes successives suivies par les cybercriminels après une intrusion.
Déroulement du processus 🔒 Les étapes identifiées sont les suivantes :
Lancement de l’attaque et compromission de la victime Vol de données (exfiltration) Chiffrement des données sur les systèmes compromis Dépôt d’une note de rançon avec instructions de contact Publication d’une revendication sur un site vitrine (leak site) après un délai variable Menace de divulgation des données volées comme levier de pression supplémentaire Temporalité ⏱️ Le délai entre l’attaque et la revendication publique varie selon les groupes. La divulgation effective des données peut intervenir entre quelques semaines et quelques mois après la revendication, notamment sous l’effet de négociations menées par des négociateurs spécialisés cherchant à gagner du temps.
Fuite publique du kit d'exploitation DarkSword ciblant des millions d'iPhones sous iOS 18
📰 Source : TechCrunch (Lorenzo Franceschi-Bicchierai & Zack Whittaker), publié le 23 mars 2026.
🔍 Contexte : Quelques semaines après la découverte d’une campagne d’attaque utilisant l’outil DarkSword, une version plus récente de ce kit d’exploitation a été publiée publiquement sur GitHub. Cet outil était précédemment associé à des hackers gouvernementaux russes ciblant des cibles ukrainiennes.
⚠️ Nature de la menace : DarkSword est un spyware iOS fonctionnant sous forme de fichiers HTML et JavaScript, ne nécessitant aucune expertise iOS pour être déployé. Selon les chercheurs d’iVerify, de Google et de Lookout, l’outil est opérationnel « out of the box » et peut être hébergé sur un serveur en quelques minutes.
📢 Goodwill of Greater Grand Rapids victime d'une cyberattaque perturbant ses opérations
📝 ## 🗓️ Contexte
L'information est publiée le 27 mars 2026 sur le site officiel de Goodwill of Greater Grand Rapids (Michigan, États-Unis), relayée par Val...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-28-goodwill-of-greater-grand-rapids-victime-d-une-cyberattaque-perturbant-ses-operations/
🌐 source : https://www.goodwillgr.org/news/cyberincident/
#TTP #cyberattaque #Cyberveille
Goodwill of Greater Grand Rapids victime d'une cyberattaque perturbant ses opérations
🗓️ Contexte L’information est publiée le 27 mars 2026 sur le site officiel de Goodwill of Greater Grand Rapids (Michigan, États-Unis), relayée par Valéry Rieß-Marchive. Il s’agit d’une communication officielle de l’organisation à destination de ses clients et partenaires.
🔍 Nature de l’incident Goodwill of Greater Grand Rapids a été victime d’une cyberattaque ayant perturbé une portion de son environnement réseau. L’attaque a notamment impacté les ressources réseau utilisées pour opérer les magasins locaux, dont le système de point de vente (POS).
Guerre hybride russe : la Suisse face à des cyberattaques, espionnage et survols de drones
🌐 Contexte Article de presse généraliste publié le 28 mars 2026 par RTS, basé sur une enquête de l’émission Temps Présent. Il documente une accumulation de menaces hybrides visant la Suisse, selon les déclarations du Service de renseignement de la Confédération (SRC) et d’autorités cantonales.
🕵️ Espionnage physique en Argovie La police cantonale argovienne a intercepté des agents étrangers sur sol suisse. Sur une douzaine d’incidents recensés ces deux dernières années, huit sont qualifiés d’activités de renseignement, attribuées principalement à des services russes ou chinois. Les cibles d’intérêt incluent :
Infiniti Stealer : nouvel infostealer macOS combinant ClickFix et Python compilé avec Nuitka
🔍 Contexte Publié le 28 mars 2026 par Stefan Dasic sur le blog Malwarebytes, cet article présente la découverte d’un nouvel infostealer macOS initialement nommé NukeChain, puis renommé Infiniti Stealer après la divulgation publique de son panneau de contrôle. Il s’agit, selon les auteurs, de la première campagne macOS documentée combinant la technique ClickFix et un stealer Python compilé avec Nuitka.
🎯 Vecteur d’infection : ClickFix via fausse page CAPTCHA L’infection débute sur le domaine update-check[.]com, qui affiche une réplique de page de vérification humaine Cloudflare. L’utilisateur est invité à :
Interception d'un appel téléphonique d'un journaliste POLITICO lié à la Hongrie et l'Ukraine
📰 Source : Politico.eu, article de Zoya Sheftalovich publié le 25 mars 2026.
🔍 Contexte : POLITICO a lancé une revue de sécurité interne après qu’un enregistrement audio d’une conversation téléphonique privée entre l’un de ses journalistes et un officiel de l’UE a été intercepté et publié en ligne. L’appel portait sur des sujets liés à la Hongrie et à l’Ukraine.
📅 Chronologie des faits :
3 mars 2026 : L’appel téléphonique privé a lieu 16 mars 2026 : L’enregistrement de 9 minutes est mis en ligne sur YouTube 25 mars 2026 : POLITICO communique officiellement à ses employés L’enregistrement a été écouté 5 100 fois selon les données YouTube 🏢 Réponse de POLITICO : Les éditeurs Kate Day et Carrie Budoff Brown ont indiqué dans un email interne que la revue interne n’a trouvé aucune preuve de compromission d’appareils, réseaux ou systèmes.
ITA Airways : violation de données du programme fidélité Volare, risque phishing élevé
🗓️ Contexte : Article publié le 28 mars 2026 sur cybersecurity360.it, relatant une violation de données annoncée par ITA Airways à ses clients du programme fidélité Volare, quelques jours avant la fermeture du programme prévue le 30 mars 2026 et le passage au programme Miles & More du groupe Lufthansa (effectif au 1er avril 2026).
🔓 Nature de l’incident : ITA Airways a notifié à ses membres un accès non autorisé à leurs données personnelles avec possible copie des informations. La compagnie précise que les données compromises incluent :
La Commission Européenne enquête sur une violation de son environnement cloud AWS
🔍 Contexte Source : BleepingComputer, publié le 28 mars 2026. La Commission Européenne, organe exécutif principal de l’Union Européenne, fait l’objet d’une enquête interne suite à une violation de sécurité affectant son environnement cloud Amazon Web Services (AWS).
🚨 Incident Un acteur malveillant non identifié a obtenu un accès non autorisé à au moins un compte AWS de la Commission Européenne. L’attaque a été rapidement détectée et l’équipe de réponse aux incidents cybersécurité de la Commission est en cours d’investigation. AWS a précisé qu’aucun incident de sécurité n’a affecté ses propres services.
Le groupe iranien Handala divulgue des emails personnels du directeur du FBI Kash Patel
🗓️ Contexte Article publié le 28 mars 2026 par The Record (Recorded Future News). Il rapporte la confirmation par le FBI et le Département de Justice américain d’une intrusion dans le compte email personnel du directeur du FBI Kash Patel, revendiquée par le groupe Handala.
🎯 Incident principal Le groupe Handala, lié au Ministère du Renseignement et de la Sécurité iranien (MOIS), a divulgué des photographies et des emails personnels du directeur du FBI Kash Patel, datant de 2010 et 2019. Le FBI et le Département de Justice ont confirmé l’authenticité des documents. Le FBI précise que les informations sont « historiques » et ne concernent « aucune information gouvernementale ».
Le Parlement européen rejette l'extension du scan CSAM, affectant la détection en ligne
🏛️ Contexte Source : The Record Media, publié le 28 mars 2026. Le Parlement européen a voté le 27 mars 2026 contre l’extension d’une dérogation temporaire aux règles de confidentialité qui permettait aux plateformes technologiques de scanner leurs services à la recherche de contenus pédopornographiques (CSAM). Cette dérogation expire le vendredi suivant le vote.
🗳️ Résultat du vote et positions 311 membres du Parlement ont voté contre l’extension, malgré le soutien de :
CyberVeille.ch