<![CDATA[TISI - Sécurité]]>

<![CDATA[TISI - Sécurité]]> https://www.tisi-fr.com/board/ Tue, 19 May 2026 13:04:02 +0000 MyBB <![CDATA[DigitStealer nouveau malware pour MacOS]]> https://www.tisi-fr.com/board/showthread.php?tid=4911 Thu, 27 Nov 2025 08:21:53 +0100 Theo]]> https://www.tisi-fr.com/board/showthread.php?tid=4911 [align=start] [/align]
[align=start][font][font][font]DigitStealer est un nouveau malware macOS qui se fait passer pour une appli légitime, vise uniquement les Mac récents avec puces Apple Silicon récentes, et vole un large ensemble de données personnelles avant d’installer une backdoor persistante.[/font][/font][/font][/align]
[align=start][font][font][font]Le malware est diffusé via un faux site qui propose une appli appelée “DynamicLake” sous forme de fichier DMG. L’utilisateur est incité à glisser un élément dans le Terminal, ce qui exécute un script chargé de télécharger et lancer DigitStealer en mémoire.[/font][/font][/font][/align]
[align=start] [/align]
[align=start][font][font][font]Avant de s’exécuter, le script interroge le processeur avec des commandes sysctl pour vérifier la présence de fonctionnalités ARM introduites avec les puces M2 (BTI, SSBS, ECV, RPRES). Cela lui permet d’éviter les Mac Intel, les premiers Mac M1 et surtout les machines virtuelles, ainsi que certains pays selon la région système configurée[/font][/font][/font][/align]
[align=start] [/align]
[font][font][font]- Affiche une fausse fenêtre système pour récupérer le mot de passe et exfiltre les documents du Bureau, des Téléchargements et des Notes.[/font][/font][/font]

[align=start]- V[font][font][font]ole les données des navigateurs (Chrome, Brave, Edge, Firefox), des portefeuilles crypto (Ledger, Electrum, Exodus), du trousseau macOS, des configs VPN (OpenVPN, Tunnelblick)[/font][/font][/font][/align]
[align=start] [/align]
[align=start] [/align]
[align=start] [/align]
[align=start] [/align]
[align=start]Source : [/align]
[align=start]https://www.clubic.com/actualite-587845-...-neuf.html[/align]]]> [align=start] [/align]
[align=start][font][font][font]DigitStealer est un nouveau malware macOS qui se fait passer pour une appli légitime, vise uniquement les Mac récents avec puces Apple Silicon récentes, et vole un large ensemble de données personnelles avant d’installer une backdoor persistante.[/font][/font][/font][/align]
[align=start][font][font][font]Le malware est diffusé via un faux site qui propose une appli appelée “DynamicLake” sous forme de fichier DMG. L’utilisateur est incité à glisser un élément dans le Terminal, ce qui exécute un script chargé de télécharger et lancer DigitStealer en mémoire.[/font][/font][/font][/align]
[align=start] [/align]
[align=start][font][font][font]Avant de s’exécuter, le script interroge le processeur avec des commandes sysctl pour vérifier la présence de fonctionnalités ARM introduites avec les puces M2 (BTI, SSBS, ECV, RPRES). Cela lui permet d’éviter les Mac Intel, les premiers Mac M1 et surtout les machines virtuelles, ainsi que certains pays selon la région système configurée[/font][/font][/font][/align]
[align=start] [/align]
[font][font][font]- Affiche une fausse fenêtre système pour récupérer le mot de passe et exfiltre les documents du Bureau, des Téléchargements et des Notes.[/font][/font][/font]

[align=start]- V[font][font][font]ole les données des navigateurs (Chrome, Brave, Edge, Firefox), des portefeuilles crypto (Ledger, Electrum, Exodus), du trousseau macOS, des configs VPN (OpenVPN, Tunnelblick)[/font][/font][/font][/align]
[align=start] [/align]
[align=start] [/align]
[align=start] [/align]
[align=start] [/align]
[align=start]Source : [/align]
[align=start]https://www.clubic.com/actualite-587845-...-neuf.html[/align]]]> <![CDATA[prévention sur la surveillance de l'IA]]> https://www.tisi-fr.com/board/showthread.php?tid=4907 Mon, 13 Oct 2025 14:14:34 +0200 elly976]]> https://www.tisi-fr.com/board/showthread.php?tid=4907 L’IA en vidéosurveillance : anticiper les gestes suspects en temps réel L’intelligence artificielle (IA) transforme la vidéosurveillance dans le secteur du retail en introduisant une analyse prédictive capable d’identifier les comportements suspects avant même qu’ils ne se produisent. Dans les magasins, cette technologie avancée détecte en temps réel les gestes inhabituels, tels qu’une tentative de vol, permettant ainsi une réaction rapide et une sécurité renforcée. En exploitant les flux vidéo pour repérer les anomalies de comportement, les solutions d’IA offrent une surveillance proactive qui contribue à prévenir les infractions, à réduire les risques de vol et à améliorer la sûreté des points de vente. Cependant cela veut également dire que l’intelligence artificielle dans la vidéosurveillance peut nuire à la vie privée, car elle entraîne une surveillance constante des individus, une collecte excessive de données personnelles, et un risque d’erreurs ou de biais dans l’analyse des comportements. Elle peut aussi compromettre l’anonymat, notamment avec la reconnaissance faciale, et permettre une utilisation secondaire des données sans le consentement des personnes concernées.]]> L’IA en vidéosurveillance : anticiper les gestes suspects en temps réel L’intelligence artificielle (IA) transforme la vidéosurveillance dans le secteur du retail en introduisant une analyse prédictive capable d’identifier les comportements suspects avant même qu’ils ne se produisent. Dans les magasins, cette technologie avancée détecte en temps réel les gestes inhabituels, tels qu’une tentative de vol, permettant ainsi une réaction rapide et une sécurité renforcée. En exploitant les flux vidéo pour repérer les anomalies de comportement, les solutions d’IA offrent une surveillance proactive qui contribue à prévenir les infractions, à réduire les risques de vol et à améliorer la sûreté des points de vente. Cependant cela veut également dire que l’intelligence artificielle dans la vidéosurveillance peut nuire à la vie privée, car elle entraîne une surveillance constante des individus, une collecte excessive de données personnelles, et un risque d’erreurs ou de biais dans l’analyse des comportements. Elle peut aussi compromettre l’anonymat, notamment avec la reconnaissance faciale, et permettre une utilisation secondaire des données sans le consentement des personnes concernées.]]> <![CDATA[Apple alerte des journalistes, militants et politiques visés par des logiciels espion]]> https://www.tisi-fr.com/board/showthread.php?tid=4905 Mon, 13 Oct 2025 09:36:25 +0200 qlf]]> https://www.tisi-fr.com/board/showthread.php?tid=4905 Apple a envoyé en 2025 plusieurs notifications de menace pour avertir des utilisateurs ciblés par des logiciels espions sophistiqués comme Pegasus, Predator, Graphite ou Triangulation.
Ces alertes ont été envoyées lors de quatre vagues (mars, avril, juin et septembre 2025) et concernaient surtout des journalistes, militants, avocats, responsables politiques ou hauts fonctionnaires.
Ces logiciels espions, dits « mercenaires », sont très difficiles à détecter, exploitent souvent des failles zero-day et peuvent infecter un appareil sans action de l’utilisateur.
La notification signifie qu’au moins un appareil lié au compte iCloud de la victime a été visé. Apple envoie ces alertes par iMessage, email officiel ou message lors de la connexion à iCloud, parfois plusieurs mois après la tentative d’intrusion.
Le CERT-FR recommande aux personnes alertées de :

contacter rapidement les autorités spécialisées,
conserver la preuve de la notification,
éviter toute modification de l’appareil (mise à jour, réinitialisation, suppression d’applis),
renforcer la sécurité par des gestes simples : mises à jour rapides, redémarrage régulier du téléphone, séparation des usages pro/perso sur des appareils distincts.

https://www.usine-digitale.fr/article/ap...s.N2237697

]]> Apple a envoyé en 2025 plusieurs notifications de menace pour avertir des utilisateurs ciblés par des logiciels espions sophistiqués comme Pegasus, Predator, Graphite ou Triangulation.
Ces alertes ont été envoyées lors de quatre vagues (mars, avril, juin et septembre 2025) et concernaient surtout des journalistes, militants, avocats, responsables politiques ou hauts fonctionnaires.
Ces logiciels espions, dits « mercenaires », sont très difficiles à détecter, exploitent souvent des failles zero-day et peuvent infecter un appareil sans action de l’utilisateur.
La notification signifie qu’au moins un appareil lié au compte iCloud de la victime a été visé. Apple envoie ces alertes par iMessage, email officiel ou message lors de la connexion à iCloud, parfois plusieurs mois après la tentative d’intrusion.
Le CERT-FR recommande aux personnes alertées de :

contacter rapidement les autorités spécialisées,
conserver la preuve de la notification,
éviter toute modification de l’appareil (mise à jour, réinitialisation, suppression d’applis),
renforcer la sécurité par des gestes simples : mises à jour rapides, redémarrage régulier du téléphone, séparation des usages pro/perso sur des appareils distincts.

https://www.usine-digitale.fr/article/ap...s.N2237697

]]> <![CDATA[Le gouvernement du Vietnam confirme avoir été victime d’un vol de données]]> https://www.tisi-fr.com/board/showthread.php?tid=4903 Fri, 19 Sep 2025 00:36:28 +0200 Galactic]]> https://www.tisi-fr.com/board/showthread.php?tid=4903 Gérée par la Banque d'état du Vietnam l'organisation traite les informations relatives aux dettes et revenus des citoyens et entreprises du pays.
La quantité de données acquises illégalment est encore en cours d'estimation, a expliqué le CERT étatique du vietnam, le VN-CERT.

Le 9 septembre 2025, le groupe Shiny Hunters, une émanation de Scarttered Spider, revendique le piratage du CIC.
Les cybercriminels affirment avoir volé environ 160 millions de données financières et personnelles très sensible liées à des millions de citoyens et d'entreprises vietnamiennes, qu'il ont ensuite mis en vente sur un forum cybercriminel. Les pirates ont fourni un échantillon des données dérobées, qui comprener nom, adresse, historique des cartes de crédit, pièces d'identité, déclarations de revenus et dettes.

SOURCES:

https://incyber.org/article/gouvernement...l-donnees/]]> Gérée par la Banque d'état du Vietnam l'organisation traite les informations relatives aux dettes et revenus des citoyens et entreprises du pays.
La quantité de données acquises illégalment est encore en cours d'estimation, a expliqué le CERT étatique du vietnam, le VN-CERT.

Le 9 septembre 2025, le groupe Shiny Hunters, une émanation de Scarttered Spider, revendique le piratage du CIC.
Les cybercriminels affirment avoir volé environ 160 millions de données financières et personnelles très sensible liées à des millions de citoyens et d'entreprises vietnamiennes, qu'il ont ensuite mis en vente sur un forum cybercriminel. Les pirates ont fourni un échantillon des données dérobées, qui comprener nom, adresse, historique des cartes de crédit, pièces d'identité, déclarations de revenus et dettes.

SOURCES:

https://incyber.org/article/gouvernement...l-donnees/]]> <![CDATA[Opération Endgame]]> https://www.tisi-fr.com/board/showthread.php?tid=4897 Fri, 18 Apr 2025 13:36:07 +0200 Juanito]]> https://www.tisi-fr.com/board/showthread.php?tid=4897 Opération Endgame : les clients du botnet Smokeloader dans le viseur des autorités

La lutte contre la cybercriminalité vient de franchir un nouveau cap avec la deuxième phase de l’opération internationale Endgame, qui cible désormais non plus seulement les opérateurs de malwares, mais aussi leurs clients. Cette offensive, coordonnée par Europol et impliquant les forces de l’ordre d’Europe et d’Amérique du Nord, a conduit début avril 2025 à l’arrestation
d’au moins cinq individus liés au botnet Smokeloader, ainsi qu’à la saisie de serveurs et à de multiples perquisitions.

[Image: OP_ENDGAME_leadimage.png.webp?itok=Wnxj4uVr]

Smokeloader : un outil central du crime informatique

Smokeloader, malware actif depuis plus de dix ans, est un « loader » particulièrement prisé pour sa discrétion et sa capacité à installer d’autres programmes malveillants sur les machines infectées. Exploité par un cybercriminel surnommé « Superstar », il était proposé en mode « pay-per-install » : des clients pouvaient louer l’accès à des ordinateurs compromis pour y déployer à leur tour des ransomwares, des logiciels espions, des enregistreurs de frappe, ou encore des outils de minage de cryptomonnaies.

Une nouvelle stratégie : frapper la demande

Contrairement à la première phase d’Endgame, qui s’était concentrée en mai 2024 sur le démantèlement d’infrastructures et l’arrestation de développeurs de malwares, cette nouvelle vague vise les clients finaux, c’est-à-dire ceux qui alimentent l’économie souterraine du cybercrime en achetant ou revendant l’accès à Smokeloader.
Les enquêteurs ont exploité une base de données saisie lors de la première opération, qui contenait les identités numériques et parfois réelles des clients de Smokeloader. Cette traçabilité a permis de remonter jusqu’à plusieurs suspects, dont certains revendaient eux-mêmes l’accès à des machines compromises, créant de véritables micro-entreprises criminelles.

Arrestations, perquisitions et coopération internationale
Au moins cinq arrestations ont été réalisées en Europe et en Amérique du Nord, accompagnées de perquisitions et de saisies numériques. Plusieurs suspects, confrontés aux preuves accumulées par les enquêteurs, ont choisi de coopérer, fournissant des informations sur les circuits de distribution de Smokeloader et sur d’autres activités cybercriminelles.
L’opération a mobilisé les autorités de nombreux pays, dont la France, l’Allemagne, les Pays-Bas, le Canada, le Danemark, la République tchèque et les États-Unis, illustrant la montée en puissance de la coopération transatlantique contre la criminalité numérique.

Sources:
https://www.europol.europa.eu/media-pres...-takedowns
https://www.bleepingcomputer.com/news/se...s-servers/
https://hackread.com/smokeloader-users-i...n-endgame/
https://incyber.org/article/operation-en...okeloader/]]> <![CDATA[Violations de données :Hertz révèle une violation de données liée au piratage de Cleo]]> https://www.tisi-fr.com/board/showthread.php?tid=4896 Tue, 15 Apr 2025 13:44:52 +0200 Omnous_Luminae]]> https://www.tisi-fr.com/board/showthread.php?tid=4896

Le géant de la location de voitures Hertz Corporation informe ses clients des marques Hertz, Thrifty et Dollar que leurs informations personnelles ont été volées à la suite du piratage de la plateforme Cleo l’année dernière.
Deux vulnérabilités de type zero-day dans la plateforme de transfert de fichiers de Cleo, ont été exploitées par le groupe de ransomware Cl0p en octobre et décembre 2024 pour exfiltrer des données provenant de dizaines d’organisations.
Au cours des derniers mois, Cl0p a ajouté des centaines d’organisations sur son site de fuites hébergé sur le réseau Tor, dont la plupart auraient probablement été touchées par l’incident Cleo.
La semaine dernière, Hertz a commencé à informer des milliers de clients que leurs informations personnelles avaient été volées depuis la plateforme de transfert de fichiers de Cleo, qu'elle utilisait « à des fins limitées ».
Selon la société de location, son analyse des données potentiellement compromises — conclue début avril — a déterminé que les noms, coordonnées, dates de naissance, numéros de permis de conduire, détails des demandes d’indemnisation des accidents du travail, ainsi que les informations de carte de crédit ont été volés lors de l’attaque.
Pour certaines personnes, des numéros de sécurité sociale, identifiants gouvernementaux, informations de passeport, numéros d'identification Medicare ou Medicaid, ainsi que des informations liées à des blessures suite à des accidents pourraient également avoir été compromis.
L’entreprise propose aux personnes potentiellement affectées deux années de services gratuits de surveillance d’identité ou de surveillance du dark web.
Hertz a déposé des notifications de violation de données auprès des Bureaux du Procureur Général dans plusieurs États américains, sans toutefois indiquer le nombre total de personnes potentiellement concernées. Toutefois, la société a informé le bureau du Maine que 3 409 résidents de cet État avaient été touchés.
Cl0p est également responsable de la campagne MOVEit, lors de laquelle le groupe a exploité une vulnérabilité zero-day dans le logiciel de transfert de fichiers MOVEit pour voler des informations auprès de milliers d’organisations.
Hertz Corporation exploite les marques de location de véhicules Hertz, Dollar et Thrifty en Amérique du Nord, Europe, Caraïbes, Amérique latine, Afrique, Moyen-Orient, Asie, Australie et Nouvelle-Zélande.

Sources :

https://www.securityweek.com/hertz-discl...cleo-hack/
https://www.bleepingcomputer.com/news/se...ta-breach/
https://securityaffairs.com/176562/data-...ttack.html]]>

Le géant de la location de voitures Hertz Corporation informe ses clients des marques Hertz, Thrifty et Dollar que leurs informations personnelles ont été volées à la suite du piratage de la plateforme Cleo l’année dernière.
Deux vulnérabilités de type zero-day dans la plateforme de transfert de fichiers de Cleo, ont été exploitées par le groupe de ransomware Cl0p en octobre et décembre 2024 pour exfiltrer des données provenant de dizaines d’organisations.
Au cours des derniers mois, Cl0p a ajouté des centaines d’organisations sur son site de fuites hébergé sur le réseau Tor, dont la plupart auraient probablement été touchées par l’incident Cleo.
La semaine dernière, Hertz a commencé à informer des milliers de clients que leurs informations personnelles avaient été volées depuis la plateforme de transfert de fichiers de Cleo, qu'elle utilisait « à des fins limitées ».
Selon la société de location, son analyse des données potentiellement compromises — conclue début avril — a déterminé que les noms, coordonnées, dates de naissance, numéros de permis de conduire, détails des demandes d’indemnisation des accidents du travail, ainsi que les informations de carte de crédit ont été volés lors de l’attaque.
Pour certaines personnes, des numéros de sécurité sociale, identifiants gouvernementaux, informations de passeport, numéros d'identification Medicare ou Medicaid, ainsi que des informations liées à des blessures suite à des accidents pourraient également avoir été compromis.
L’entreprise propose aux personnes potentiellement affectées deux années de services gratuits de surveillance d’identité ou de surveillance du dark web.
Hertz a déposé des notifications de violation de données auprès des Bureaux du Procureur Général dans plusieurs États américains, sans toutefois indiquer le nombre total de personnes potentiellement concernées. Toutefois, la société a informé le bureau du Maine que 3 409 résidents de cet État avaient été touchés.
Cl0p est également responsable de la campagne MOVEit, lors de laquelle le groupe a exploité une vulnérabilité zero-day dans le logiciel de transfert de fichiers MOVEit pour voler des informations auprès de milliers d’organisations.
Hertz Corporation exploite les marques de location de véhicules Hertz, Dollar et Thrifty en Amérique du Nord, Europe, Caraïbes, Amérique latine, Afrique, Moyen-Orient, Asie, Australie et Nouvelle-Zélande.

Sources :

https://www.securityweek.com/hertz-discl...cleo-hack/
https://www.bleepingcomputer.com/news/se...ta-breach/
https://securityaffairs.com/176562/data-...ttack.html]]> <![CDATA[Sentinel-Guard l'IA qui anticipe les cyberattaques avant qu’elles ne frappent]]> https://www.tisi-fr.com/board/showthread.php?tid=4885 Tue, 18 Mar 2025 13:52:07 +0100 apollon]]> https://www.tisi-fr.com/board/showthread.php?tid=4885 Cybersécurité : "Sentinel-Guard", l'IA qui anticipe les cyberattaques avant qu’elles ne frappent

La cybersécurité entre dans une nouvelle ère avec Sentinel-Guard, une intelligence artificielle développée conjointement par MIT et IBM. Ce système révolutionnaire ne se contente pas de détecter les menaces en cours — il les prête avant même qu'elles ne soient déclenchées.

Comment fonctionne Sentinel-Guard ?
L'IA repose sur une combinaison de machine machine learning avancé et d'analyse comportementale en temps réel. Elle ingère des milliards de logs provenant de divers systèmes (serveurs, routeurs, bases de données, etc.) et repère les schémas suspects.
Contrairement aux solutions traditionnelles qui déclenchent des alertes une fois l’attaque détectée, Sentinel-Guard identifie les prémices d’une intrusion :

Détections d’activités inhabituelles (connexions anormales, modifications rapides de fichiers sensibles, tentatives de reconnaissance réseau…)
Analyse prédictive basée sur l’historique des attaques connues et des nouvelles méthodes émergentes sur le dark web
Corrélation multi-sources entre différents systèmes pour repérer des anomalies qui passeraient inaperçues sur un seul appareil

Des résultats bluffants

Détections d’activités inhabituelles (connexions anormales, modifications rapides de fichiers sensibles, tentatives de reconnaissance réseau…)
Analyse prédictive basée sur l’historique des attaques connues et des nouvelles méthodes émergentes sur le dark web
Corrélation multi-sources entre différents systèmes pour repérer des anomalies qui passeraient inaperçues sur un seul appareil

Des résultats bluffants

Les premiers essais menés sur des infrastructures sensibles (banques, hôpitaux, data centers) ont montré une réduction de 73% des attaques non détectées et une vitesse de réponse améliorée de 50%.
L’IA permet également de bloquer automatiquement certaines menaces (ransomwares, injections SQL, tentatives de phishing) avant même qu'elles n'atteignent leur cible]]> <![CDATA[Le nouveau StilachiRAT utilise des techniques sophistiquées pour éviter la détection]]> https://www.tisi-fr.com/board/showthread.php?tid=4884 Tue, 18 Mar 2025 13:51:29 +0100 Omnous_Luminae]]> https://www.tisi-fr.com/board/showthread.php?tid=4884 En novembre 2024, des chercheurs de Microsoft ont identifié StilachiRAT, un cheval de Troie d'accès à distance (RAT) avancé conçu pour la furtivité, la persistance et le vol de données. L’analyse de son module WWStartupCtrl64.dll a révélé que ce malware possède des fonctionnalités sophistiquées permettant de voler des identifiants enregistrés dans les navigateurs, des données de portefeuilles numériques, le contenu du presse-papiers et des informations système. Les chercheurs ont souligné que StilachiRAT emploie des méthodes avancées d’évasion.
Microsoft n’a pas encore attribué ce malware à un acteur de menace ou à une localisation géographique spécifique. Cependant, le géant de l’informatique estime qu’il n’est pas encore largement répandu.
« StilachiRAT collecte un grand nombre d’informations système, notamment les détails du système d’exploitation, les identifiants de l’appareil, les numéros de série du BIOS et la présence d’une caméra », indique l’analyse publiée par Microsoft. « Les informations sont collectées via les interfaces Component Object Model (COM) et Web-Based Enterprise Management (WBEM) à l’aide du WMI Query Language (WQL). »
Le RAT maintient sa persistance à l’aide du gestionnaire de contrôle des services Windows (SCM) et utilise des threads de surveillance qui lui permettent de se réinstaller automatiquement s'il est supprimé.
Vol de portefeuilles numériques et informations de connexion

Une fois déployé, StilachiRAT analyse les données de configuration de dizaines d’extensions de portefeuilles de cryptomonnaies pour voler des actifs numériques. Le malware cible notamment les extensions suivantes :
Bitget Wallet, Trust Wallet, TronLink, MetaMask, TokenPocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet for Sei, Math Wallet, Fractal Wallet, Station Wallet, ConfluxPortal, Plug.
StilachiRAT est également capable d’extraire la clé de chiffrement encrypted_encryption_key de Google Chrome et de la décrypter à l’aide des API Windows pour accéder aux identifiants stockés. Il récupère les données de connexion depuis les bases de données SQLite et les transmet à l’attaquant.
Le malware communique avec un serveur de Command & Control (C2) via des domaines obscurcis et des adresses IP au format binaire, en utilisant des ports TCP aléatoires (53, 443 ou 16 000). Pour éviter la détection, il retarde sa connexion de deux heures et se ferme automatiquement si tcpview.exe est détecté. Une fois connecté, il envoie à l’attaquant la liste des fenêtres actives.
Espionnage des sessions RDP et persistance
StilachiRAT surveille les sessions RDP (Remote Desktop Protocol) pour détecter les fenêtres actives et l’usurpation d’identité de l’utilisateur, ce qui lui permet d’effectuer des mouvements latéraux dans le système infecté.
Pour échapper aux analyses de sécurité, le malware efface les journaux, détecte la présence d’outils d’analyse et obscurcit ses appels aux API Windows. Il encode les noms d’API sous forme de checksums et les résout dynamiquement à l’exécution tout en utilisant des tables de recherche masquées par XOR pour compliquer l’analyse.
Exécution des commandes malveillantes
Le RAT peut exécuter divers commandes C2, notamment :

Redémarrage du système,
Suppression des journaux,
Vol d’identifiants,
Exécution d’applications,
Modification du registre,
Affichage de boîtes de dialogue,
Établissement ou acceptation de connexions réseau,
Auto-termination,
Mise en veille du système,
Énumération des fenêtres ouvertes.

De plus, le malware possède une commande spécifique pour voler les mots de passe enregistrés dans Google Chrome, mettant en évidence ses capacités d’espionnage et de manipulation avancées du système.

SOURCES

https://securityaffairs.com/175530/malwa...ction.html
https://www.microsoft.com/en-us/security...ncy-theft/
https://thehackernews.com/2025/03/micros...althy.html
https://coincentral.com/microsoft-identi...o-wallets/]]> En novembre 2024, des chercheurs de Microsoft ont identifié StilachiRAT, un cheval de Troie d'accès à distance (RAT) avancé conçu pour la furtivité, la persistance et le vol de données. L’analyse de son module WWStartupCtrl64.dll a révélé que ce malware possède des fonctionnalités sophistiquées permettant de voler des identifiants enregistrés dans les navigateurs, des données de portefeuilles numériques, le contenu du presse-papiers et des informations système. Les chercheurs ont souligné que StilachiRAT emploie des méthodes avancées d’évasion.
Microsoft n’a pas encore attribué ce malware à un acteur de menace ou à une localisation géographique spécifique. Cependant, le géant de l’informatique estime qu’il n’est pas encore largement répandu.
« StilachiRAT collecte un grand nombre d’informations système, notamment les détails du système d’exploitation, les identifiants de l’appareil, les numéros de série du BIOS et la présence d’une caméra », indique l’analyse publiée par Microsoft. « Les informations sont collectées via les interfaces Component Object Model (COM) et Web-Based Enterprise Management (WBEM) à l’aide du WMI Query Language (WQL). »
Le RAT maintient sa persistance à l’aide du gestionnaire de contrôle des services Windows (SCM) et utilise des threads de surveillance qui lui permettent de se réinstaller automatiquement s'il est supprimé.
Vol de portefeuilles numériques et informations de connexion

Une fois déployé, StilachiRAT analyse les données de configuration de dizaines d’extensions de portefeuilles de cryptomonnaies pour voler des actifs numériques. Le malware cible notamment les extensions suivantes :
Bitget Wallet, Trust Wallet, TronLink, MetaMask, TokenPocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet for Sei, Math Wallet, Fractal Wallet, Station Wallet, ConfluxPortal, Plug.
StilachiRAT est également capable d’extraire la clé de chiffrement encrypted_encryption_key de Google Chrome et de la décrypter à l’aide des API Windows pour accéder aux identifiants stockés. Il récupère les données de connexion depuis les bases de données SQLite et les transmet à l’attaquant.
Le malware communique avec un serveur de Command & Control (C2) via des domaines obscurcis et des adresses IP au format binaire, en utilisant des ports TCP aléatoires (53, 443 ou 16 000). Pour éviter la détection, il retarde sa connexion de deux heures et se ferme automatiquement si tcpview.exe est détecté. Une fois connecté, il envoie à l’attaquant la liste des fenêtres actives.
Espionnage des sessions RDP et persistance
StilachiRAT surveille les sessions RDP (Remote Desktop Protocol) pour détecter les fenêtres actives et l’usurpation d’identité de l’utilisateur, ce qui lui permet d’effectuer des mouvements latéraux dans le système infecté.
Pour échapper aux analyses de sécurité, le malware efface les journaux, détecte la présence d’outils d’analyse et obscurcit ses appels aux API Windows. Il encode les noms d’API sous forme de checksums et les résout dynamiquement à l’exécution tout en utilisant des tables de recherche masquées par XOR pour compliquer l’analyse.
Exécution des commandes malveillantes
Le RAT peut exécuter divers commandes C2, notamment :

Redémarrage du système,
Suppression des journaux,
Vol d’identifiants,
Exécution d’applications,
Modification du registre,
Affichage de boîtes de dialogue,
Établissement ou acceptation de connexions réseau,
Auto-termination,
Mise en veille du système,
Énumération des fenêtres ouvertes.

Contexte et Enjeux :
- Dans un monde où la guerre se joue autant sur le terrain que dans le cyberespace, l'armée française intensifie sa préparation contre les cyberattaques. Ces attaques peuvent paralyser des équipements militaires cruciaux, comme des véhicules blindés.
Exercice DEFNET :
- Un exercice militaire récent, DEFNET, a impliqué 15 000 militaires pour contrer des incidents fictifs, incluant des attaques sur une frégate, un avion, et un véhicule blindé Griffon.
- Lors de cet exercice, un commandant a utilisé un télémètre modifié pour immobiliser un Griffon de 24,5 tonnes en perturbant son système informatique.
Stratégies de Défense :
- Face à ces menaces, l'armée développe des protocoles de réaction rapide, incluant l'isolement du réseau, la sécurisation du périmètre, et l'intervention d'unités spécialisées pour neutraliser la menace.
- L'objectif est de limiter la propagation de l'attaque et d'assurer la sécurité immédiate des militaires.
Guerre de l'Information :
- Les cyberattaques peuvent avoir des répercussions médiatiques importantes, affectant le moral des troupes et de la population.
- L'armée développe des stratégies de communication pour contrer la désinformation et rassurer le public.
Adaptation et Évolution :
- L'armée française montre sa capacité à évoluer face aux menaces émergentes, en structurant une réponse efficace aux cyberattaques tactiques.

Sources:
Cyberattaque en exercice militaire : un blindé Griffon de 24,5 tonnes mis hors service en un instant !]]>

Contexte et Enjeux :
- Dans un monde où la guerre se joue autant sur le terrain que dans le cyberespace, l'armée française intensifie sa préparation contre les cyberattaques. Ces attaques peuvent paralyser des équipements militaires cruciaux, comme des véhicules blindés.
Exercice DEFNET :
- Un exercice militaire récent, DEFNET, a impliqué 15 000 militaires pour contrer des incidents fictifs, incluant des attaques sur une frégate, un avion, et un véhicule blindé Griffon.
- Lors de cet exercice, un commandant a utilisé un télémètre modifié pour immobiliser un Griffon de 24,5 tonnes en perturbant son système informatique.
Stratégies de Défense :
- Face à ces menaces, l'armée développe des protocoles de réaction rapide, incluant l'isolement du réseau, la sécurisation du périmètre, et l'intervention d'unités spécialisées pour neutraliser la menace.
- L'objectif est de limiter la propagation de l'attaque et d'assurer la sécurité immédiate des militaires.
Guerre de l'Information :
- Les cyberattaques peuvent avoir des répercussions médiatiques importantes, affectant le moral des troupes et de la population.
- L'armée développe des stratégies de communication pour contrer la désinformation et rassurer le public.
Adaptation et Évolution :
- L'armée française montre sa capacité à évoluer face aux menaces émergentes, en structurant une réponse efficace aux cyberattaques tactiques.

Sources:
Cyberattaque en exercice militaire : un blindé Griffon de 24,5 tonnes mis hors service en un instant !]]> <![CDATA[Nouveau ransomware Akira]]> https://www.tisi-fr.com/board/showthread.php?tid=4875 Mon, 17 Mar 2025 11:48:52 +0100 Omnous_Luminae]]> https://www.tisi-fr.com/board/showthread.php?tid=4875
(non ce n'es pas cela)

[Image: Akira.png]

Le chercheur en sécurité Yohanes Nugroho a publié un décrypteur pour la variante Linux du ransomware Akira, qui utilise la puissance des GPU pour récupérer la clé de déchiffrement et débloquer les fichiers gratuitement.
Nugroho a développé ce décrypteur après qu’un ami lui ait demandé de l’aide, estimant que le système chiffré pouvait être résolu en une semaine, en raison de la manière dont Akira génère ses clés de chiffrement à partir de timestamps.
Cependant, le projet a finalement pris trois semaines en raison de complexités imprévues, et le chercheur a dépensé 1 200 $ en ressources GPU pour casser la clé de chiffrement. Mais il a fini par réussir.
Utilisation des GPU pour le bruteforce des clésLe décrypteur de Nugroho ne fonctionne pas comme un outil de déchiffrement classique où l’utilisateur fournirait une clé pour débloquer ses fichiers.
Au lieu de cela, il effectue une attaque par force brute sur les clés de chiffrement (uniques pour chaque fichier) en exploitant le fait que l’outil de chiffrement d’Akira génère ses clés en fonction du temps actuel (en nanosecondes) comme graine.
Une graine de chiffrement est une donnée utilisée avec des fonctions cryptographiques pour générer des clés de chiffrement fortes et imprévisibles. Puisque la graine influence la génération des clés, la garder secrète est crucial pour éviter que des attaquants ne puissent recréer les clés de chiffrement ou de déchiffrement via des attaques par force brute ou d’autres attaques cryptographiques.
Akira ransomware génère dynamiquement des clés de chiffrement uniques pour chaque fichier en utilisant quatre timestamps différents avec une précision en nanosecondes et en les hachant à travers 1 500 itérations de SHA-256.
Quatre timestamps utilisés pour générer les clésCes clés sont ensuite chiffrées avec RSA-4096 et ajoutées à la fin de chaque fichier chiffré, ce qui rend leur déchiffrement difficile sans la clé privée.
Le niveau de précision des timestamps crée plus d’un milliard de valeurs possibles par seconde, ce qui rend difficile le cassage des clés par force brute.
De plus, Nugroho explique que le ransomware Akira sous Linux chiffre plusieurs fichiers simultanément grâce au multithreading, ce qui complique la détermination du timestamp utilisé et ajoute encore plus de difficulté.
Utilisation des logs pour réduire l’espace de rechercheLe chercheur a réduit l’ensemble des timestamps possibles en analysant les fichiers journaux (logs) partagés par son ami. Ces logs lui ont permis de voir quand le ransomware a été exécuté, d’analyser les métadonnées des fichiers pour estimer le temps de chiffrement, et de produire des benchmarks de chiffrement sur différents matériels pour établir des profils prévisibles.
Les premières tentatives avec un RTX 3060 étaient bien trop lentes, atteignant seulement 60 millions de tests de chiffrement par seconde. L’upgrade vers un RTX 3090 n’a pas amélioré significativement les performances.
Finalement, le chercheur s’est tourné vers les services cloud GPU de RunPod & Vast.ai, qui offraient la puissance nécessaire à un coût raisonnable pour valider l’efficacité de son outil.
En particulier, il a utilisé seize RTX 4090 pour casser la clé de déchiffrement en environ 10 heures. Toutefois, en fonction du nombre de fichiers chiffrés à récupérer, le processus peut prendre quelques jours.
Le chercheur a noté dans son rapport que des experts en GPU pourraient encore optimiser son code, ce qui pourrait améliorer les performances.
Le décrypteur disponible sur GitHub. Nugroho a mis son décrypteur à disposition sur GitHub, accompagné d’instructions pour récupérer les fichiers chiffrés par Akira.
Précaution importante : Avant d’essayer de déchiffrer des fichiers, il est recommandé de faire une sauvegarde des fichiers chiffrés. En effet, il existe un risque que les fichiers soient corrompus si une mauvaise clé de déchiffrement est utilisée.

Sources :

https://fr.blog.barracuda.com/2025/02/11...retro-vibe
https://www.bleepingcomputer.com/news/se...on-github/
https://www.threatdown.com/fr/glossaire/...ansomware/
https://www.truesec.com/hub/blog/akira-r...are-victim]]>
(non ce n'es pas cela)

[Image: Akira.png]

[Image: 49fc338b-bb71-55e6-8c16-8e1e89e2befc.jpg]

Google vient d'annoncer l'intégration de signatures numériques résistantes aux quantiques dans son service Cloud Key Management Service (Cloud KMS), marquant une avancée significative dans la sécurité cryptographique.

Une réponse à l'évolution de l'informatique quantique

L'avancement continu de l'informatique quantique expérimentale a soulevé des inquiétudes quant à la sécurité des systèmes de cryptographie à clé publique largement utilisés dans le monde. Les ordinateurs quantiques suffisamment puissants pourraient potentiellement briser ces algorithmes, mettant en lumière la nécessité de développer et d'implémenter dès maintenant une cryptographie résistante aux quantiques.

Caractéristiques de la nouvelle offre

Disponibilité en preview des signatures numériques résistantes aux quantiques (FIPS 204/FIPS 205) dans Google Cloud KMS pour les clés logicielles.
Support des algorithmes ML-DSA-65 (signature numérique basée sur les réseaux) et SLH-DSA-SHA2-128S (signature numérique basée sur le hachage sans état), conformes aux nouvelles normes PQC du NIST.
Utilisation de l'API existante de Google pour signer cryptographiquement des données et valider les signatures avec des paires de clés stockées dans Cloud KMS.

Stratégie globale de Google pour la sécurité post-quantique

Google adopte une approche complète pour rendre Cloud KMS résistant aux quantiques, comprenant:

Support logiciel et matériel pour les algorithmes quantiques standardisés.
Chemins de migration pour les clés, protocoles et charges de travail existants.
Sécurisation de l'infrastructure de base de Google contre les menaces quantiques.
Analyse de la sécurité et des performances des algorithmes et implémentations PQC.
Contribution technique aux efforts de normalisation et aux organisations gouvernementales.

Disponibilité en preview des signatures numériques résistantes aux quantiques (FIPS 204/FIPS 205) dans Google Cloud KMS pour les clés logicielles.
Support des algorithmes ML-DSA-65 (signature numérique basée sur les réseaux) et SLH-DSA-SHA2-128S (signature numérique basée sur le hachage sans état), conformes aux nouvelles normes PQC du NIST.
Utilisation de l'API existante de Google pour signer cryptographiquement des données et valider les signatures avec des paires de clés stockées dans Cloud KMS.

Stratégie globale de Google pour la sécurité post-quantique

Google adopte une approche complète pour rendre Cloud KMS résistant aux quantiques, comprenant:

Support logiciel et matériel pour les algorithmes quantiques standardisés.
Chemins de migration pour les clés, protocoles et charges de travail existants.
Sécurisation de l'infrastructure de base de Google contre les menaces quantiques.
Analyse de la sécurité et des performances des algorithmes et implémentations PQC.
Contribution technique aux efforts de normalisation et aux organisations gouvernementales.

Implication pour les utilisateurs

Cette nouvelle fonctionnalité permet aux clients de tester et d'intégrer ces schémas de signature dans leurs flux de travail existants, en préparation d'une adoption plus large. Elle offre également une protection contre les attaques futures par des adversaires disposant d'ordinateurs quantiques cryptographiquement pertinents, particulièrement importante pour les signatures à longue durée de vie et les mises à jour de firmware critiques.
Google s'engage à rester à la pointe des développements en cryptographie post-quantique, y compris l'incorporation de futures normes algorithmiques du NIST, assurant ainsi une adaptation continue à l'évolution du paysage cryptanalytique quantique.

Sources:

https://cloud.google.com/blog/products/i...-cloud-kms
https://www.investing.com/news/stock-mar...CH-3881570
https://www.darkreading.com/cloud-securi...-cloud-kms]]> <![CDATA[Le gang de ransomware Medusa exige $2M d'un prestataire privé de santé UK]]> https://www.tisi-fr.com/board/showthread.php?tid=4871 Thu, 20 Feb 2025 09:17:41 +0100 Omnous_Luminae]]> https://www.tisi-fr.com/board/showthread.php?tid=4871 Anciennement connu sous le nom de Virgin Care et désormais détenu par Twenty20 Capital, HCRG gère des services de santé et sociaux pour les enfants et les familles à travers le Royaume-Uni, travaillant avec le NHS et les autorités locales. Il emploierait environ 5 000 personnes et son chiffre d'affaires annuel jusqu'en mars 2023 s'élevait à près de 250 millions de livres sterling (315 millions de dollars).
Dans une mise à jour sur son site du dark web, le gang Medusa affirme avoir volé 2,275 To de données appartenant à HCRG et propose trois options : vendre ces informations pour 2 millions de dollars (1,6 million de livres sterling), les supprimer contre le même montant ou les publier en ligne si aucune rançon n’est versée avant le 27 février.
De plus, le gang affirme pouvoir retarder la divulgation des données contre un paiement de 10 000 dollars (8 000 livres sterling) par jour, probablement pour prolonger les négociations. Il a déjà divulgué un échantillon de 35 pages des informations supposément volées, comprenant des scans de passeports et de permis de conduire, des plannings du personnel, un acte de naissance et des données issues de vérifications des antécédents.

Un porte-parole de HCRG a déclaré mercredi au journal The Register :
"Nous confirmons que nous enquêtons actuellement sur un incident de sécurité informatique et avons récemment identifié une publication sur le dark web d'un groupe revendiquant l'attaque."
"Notre équipe n'a observé aucune activité suspecte depuis la mise en place de mesures immédiates de confinement et nous travaillons avec des spécialistes en cybersécurité pour enquêter sur l'incident. Nos services continuent de fonctionner normalement et de recevoir les patients en toute sécurité. Ceux ayant des rendez-vous ou nécessitant nos services doivent continuer à s'y rendre."

Pour l'instant, HCRG reste donc opérationnel – un contraste frappant avec ce qui s'est produit au Texas l'année dernière, lorsque le University Medical Center de Lubbock a dû limiter sévèrement ses activités et refuser des ambulances après une attaque par rançongiciel. Dans le cas de HCRG, il semble que Medusa ait choisi de ne pas chiffrer les fichiers, préférant voler les données et les rançonner.
Un groupe de rançongiciel bien connu

Medusa a revendiqué une attaque similaire contre le Gateshead Council au Royaume-Uni le mois dernier. L'organisation avait refusé de payer la rançon de 600 000 dollars, ce qui avait conduit Medusa à publier en ligne les données supposément volées.
Ce gang est apparu fin 2022 et cible principalement les environnements Windows. D'après Unit 42 de Palo Alto Networks, il attaque cinq secteurs majeurs : la technologie, l'éducation, la fabrication, la santé et la vente au détail.
Les organisations américaines sont les principales victimes de Medusa, suivies de près par les entreprises britanniques.

Il est probable que HCRG refuse également de céder au chantage. De toute façon, même si l'entreprise payait, rien ne garantirait que Medusa ne revende pas les données par la suite. Selon la société de cybersécurité Cybereason, en 2023, 78 % des organisations ayant payé une rançon ont été attaquées de nouveau, et 63 % ont reçu une demande encore plus élevée la seconde fois.

Sources :
https://www.theregister.com/2025/02/20/m...ansomware/
https://solacecyber.co.uk/medusa-ransomw...iBEALw_wcB]]> Anciennement connu sous le nom de Virgin Care et désormais détenu par Twenty20 Capital, HCRG gère des services de santé et sociaux pour les enfants et les familles à travers le Royaume-Uni, travaillant avec le NHS et les autorités locales. Il emploierait environ 5 000 personnes et son chiffre d'affaires annuel jusqu'en mars 2023 s'élevait à près de 250 millions de livres sterling (315 millions de dollars).
Dans une mise à jour sur son site du dark web, le gang Medusa affirme avoir volé 2,275 To de données appartenant à HCRG et propose trois options : vendre ces informations pour 2 millions de dollars (1,6 million de livres sterling), les supprimer contre le même montant ou les publier en ligne si aucune rançon n’est versée avant le 27 février.
De plus, le gang affirme pouvoir retarder la divulgation des données contre un paiement de 10 000 dollars (8 000 livres sterling) par jour, probablement pour prolonger les négociations. Il a déjà divulgué un échantillon de 35 pages des informations supposément volées, comprenant des scans de passeports et de permis de conduire, des plannings du personnel, un acte de naissance et des données issues de vérifications des antécédents.

Un porte-parole de HCRG a déclaré mercredi au journal The Register :
"Nous confirmons que nous enquêtons actuellement sur un incident de sécurité informatique et avons récemment identifié une publication sur le dark web d'un groupe revendiquant l'attaque."
"Notre équipe n'a observé aucune activité suspecte depuis la mise en place de mesures immédiates de confinement et nous travaillons avec des spécialistes en cybersécurité pour enquêter sur l'incident. Nos services continuent de fonctionner normalement et de recevoir les patients en toute sécurité. Ceux ayant des rendez-vous ou nécessitant nos services doivent continuer à s'y rendre."

Pour l'instant, HCRG reste donc opérationnel – un contraste frappant avec ce qui s'est produit au Texas l'année dernière, lorsque le University Medical Center de Lubbock a dû limiter sévèrement ses activités et refuser des ambulances après une attaque par rançongiciel. Dans le cas de HCRG, il semble que Medusa ait choisi de ne pas chiffrer les fichiers, préférant voler les données et les rançonner.
Un groupe de rançongiciel bien connu

Medusa a revendiqué une attaque similaire contre le Gateshead Council au Royaume-Uni le mois dernier. L'organisation avait refusé de payer la rançon de 600 000 dollars, ce qui avait conduit Medusa à publier en ligne les données supposément volées.
Ce gang est apparu fin 2022 et cible principalement les environnements Windows. D'après Unit 42 de Palo Alto Networks, il attaque cinq secteurs majeurs : la technologie, l'éducation, la fabrication, la santé et la vente au détail.
Les organisations américaines sont les principales victimes de Medusa, suivies de près par les entreprises britanniques.

La start-up française Mistral AI, créatrice du chatbot "Le Chat", est accusée de ne pas respecter les droits des utilisateurs en matière de données personnelles. Selon une plainte déposée auprès de la CNIL, l'entreprise imposerait aux utilisateurs de la version gratuite l'utilisation de leurs données pour entraîner ses modèles d'IA, sans possibilité de refus.
En effet, Sa politique de confidentialité indique que les données d’entrée (requêtes) et les données de sortie (réponses générées) sont utilisées pour entraîner ses modèles d’IA. Or, seuls les abonnés payants (15 €/mois) peuvent refuser ce traitement, tandis que les utilisateurs gratuits n’ont aucun moyen de s’y opposer.
Cette pratique pourrait contrevenir au Règlement Général sur la Protection des Données (RGPD), qui stipule que l'exercice des droits sur les données personnelles ne doit pas être conditionné à un paiement.

Si cette pratique est avérée, Mistral AI pourrait être sanctionnée. L’enquête de la CNIL tranchera sur la légalité de cette approche. Affaire à suivre.

Source : https://www.frandroid.com/culture-tech/2...ee-au-rgpd
https://www.clubic.com/actualite-553317-...elles.html]]> <![CDATA[Les forums Cracked.io et Nulled.to saisis par le FBI et Europol]]> https://www.tisi-fr.com/board/showthread.php?tid=4863 Wed, 05 Feb 2025 11:27:20 +0100 Marco]]> https://www.tisi-fr.com/board/showthread.php?tid=4863

Dans une opération internationale récente, le FBI, Europol et la police française ont réussi à démanteler deux des plus grandes plateformes de « cybercriminalité » : Cracked.io et Nulled.to. Ces forums, abritant des millions d’utilisateurs étaient notamment utilisé pour la vente de logiciels piratés, de base de données volées et de diffèrent services illégaux (Refund, Service de DDoS, etc…).

Selon les enquêtes, ces plateformes facilitaient des activités telles que le piratage de comptes, la diffusion de malwares et le partage de tutoriels illicites.

En utilisant des techniques de surveillance avancées, les enquêteurs ont réussi à infiltrer les serveurs de Cracked.io et Nulled.to, dispersés dans plusieurs pays, pour les localiser et les neutraliser. Des perquisitions et des arrestations ciblées ont ensuite été menées, permettant aux autorités de saisir les serveurs, les domaines et les actifs financiers liés à ces plateformes.

Cette opération souligne l’importance de la coopération internationale pour lutter contre les menaces numériques.

sources :
https://www.lefigaro.fr/international/le...e-20250130
https://next.ink/167797/cracked-io-nulle...e-hackers/
https://www.bitdefender.com/en-us/blog/h...led-hacker]]>

Dans une opération internationale récente, le FBI, Europol et la police française ont réussi à démanteler deux des plus grandes plateformes de « cybercriminalité » : Cracked.io et Nulled.to. Ces forums, abritant des millions d’utilisateurs étaient notamment utilisé pour la vente de logiciels piratés, de base de données volées et de diffèrent services illégaux (Refund, Service de DDoS, etc…).

Selon les enquêtes, ces plateformes facilitaient des activités telles que le piratage de comptes, la diffusion de malwares et le partage de tutoriels illicites.

En utilisant des techniques de surveillance avancées, les enquêteurs ont réussi à infiltrer les serveurs de Cracked.io et Nulled.to, dispersés dans plusieurs pays, pour les localiser et les neutraliser. Des perquisitions et des arrestations ciblées ont ensuite été menées, permettant aux autorités de saisir les serveurs, les domaines et les actifs financiers liés à ces plateformes.

Cette opération souligne l’importance de la coopération internationale pour lutter contre les menaces numériques.

sources :
https://www.lefigaro.fr/international/le...e-20250130
https://next.ink/167797/cracked-io-nulle...e-hackers/
https://www.bitdefender.com/en-us/blog/h...led-hacker]]>