Les news relatives à la cybersécurité des installations industrielles
ENISA : Le Conseil de l’UE approuve des conclusions pour une agence européenne de cybersécurité renforcée
Le Conseil de l’UE a approuvé des conclusions sur le renforcement du rôle d’ENISA, l’Agence européenne pour la cybersécurité. Avec l’augmentation des menaces cyber et l’évolution du cadre législatif (CRA, NIS 2), l’ENISA a vu ses missions s’élargir. Le Conseil recommande donc d’adapter ses ressources tout en évitant les doublons avec d’autres acteurs. Il souligne aussi l’importance de son soutien aux États membres, notamment en matière de certification et de gestion des crises cyber. Enfin, la coopération avec la Commission européenne, Europol et d’autres partenaires est mise en avant pour renforcer la résilience numérique de l’UE.
Fuite des logs de discussion du ransomware BlackBasta
Le 20 février, Prodaft a révélé la fuite des logs internes du groupe de ransomware BlackBasta, publiés d’abord sur MEGA puis sur Telegram. Ces 196 045 messages en russe, couvrant la période de septembre 2023 à septembre 2024, dévoilent des tensions internes ayant mené à la dissolution du groupe. Un membre clé, "Tramp" (ou "Trump"), a provoqué des conflits en priorisant ses gains financiers, poussant plusieurs membres à quitter. BlackBasta a également mené une attaque risquée contre des banques russes, attirant l'attention des autorités. Plusieurs de ses anciens membres ont rejoint les groupes de ransomware Cactus et Akira.
Cyber Blueprint : Renforcement de la gestion des crises de cybersécurité dans l’UE
Le Cyber Blueprint est une recommandation de l’UE visant à renforcer la gestion des crises de cybersécurité en améliorant la coordination entre les États membres, les institutions européennes et les acteurs civils et militaires. Il définit les mécanismes de prévention, de détection et de réponse aux cyberattaques majeures, en exploitant des outils existants comme la Réserve de Cybersécurité de l’UE et le Mécanisme d’Urgence en Cybersécurité. Il encourage la coopération avec l’OTAN, la sécurisation des infrastructures critiques et le déploiement de communications sécurisées. Il prévoit également des exercices de simulation, une meilleure intégration des secteurs public et privé, et une approche cyberdiplomatique pour dissuader et répondre aux menaces.
Silver Fox APT : Une nouvelle cybermenace ciblant les visionneuses DICOM du secteur de la santé
Le groupe APT Silver Fox cible le secteur de la santé en diffusant des versions trojanisées de la visionneuse Philips DICOM pour installer un RAT (ValleyRAT), un keylogger et un crypto-miner. L’infection se propage via phishing et SEO poisoning, tandis que le malware contourne les antivirus avec des exclusions PowerShell et télécharge des payloads chiffrées depuis Alibaba Cloud. Il désactive les solutions de sécurité et assure sa persistance via des tâches planifiées.
Anubis : Un nouveau groupe de ransomware
Anubis est un groupe de ransomware apparu fin 2024, spécialisé dans l’extorsion de données. Il cible principalement des entreprises en Amérique du Nord, en Europe et en Australie, notamment dans les secteurs de la santé et de l’ingénierie. Il infiltre les systèmes, volent des données sensibles et demandent une rançon. Si la victime refuse de payer, il publie les informations volées pour faire pression. Actifs sur des forums russes, il semble être constituer d’anciens membres d’autres groupes de ransomware, avec une solide expérience en cybercriminalité.
Détail d’une cyberattaque de l’opérateur de ransomware LockBit
Le mode opératoire d’un affilié à Lockbit a été détaillé dans une publication. Après l’exploitation d’une vulnérabilité, CVE-2023-22527, sur un serveur Confluence, les cybercriminels ont utilisé des outils standards, tels que Mimikatz et Metasploit, pour prendre le contrôle du système. Ils ont utilisé le protocole RDP (Remote Desktop) pour la latérisation dans le système d’information de la victime. Pour déployer le ransomware LockBit rapidement, l’outil PDQ Deploy a été utilisé.
Montant de la cyberattaque qui a ciblé Southern Water par Black Basta
L'entreprise britannique Southern Water a été victime en janvier 2024 d'une cyberattaque menée par le groupe de ransomware Black Basta, lié à la Russie. Le rapport d’activité 2024 de l’ entreprise, la cyberattaque a entraîné un coût de 4,5 millions de livres sterling pour gérer l'incident et la remédiation aux failles de leur système d’information.
Les principales conclusions des cyberattaques en 2024 par Palo Alto
L'équipe de réponse aux incidents Unit 42 de Palo Alto Networks a rédigé le rapport "2025 Global Incident Response Report". Ce rapport se base sur l’analyse de 500 cyberattaques survenues en 2024, dans 38 pays et plusieurs secteurs d’activité. Il révèle que 86 % des attaques ont causé des interruptions de service ou des pertes financières. Le rapport met en évidence cinq grandes tendances : les attaquants perturbent de plus en plus les opérations des entreprises, les attaques contre les chaînes d’approvisionnement et les environnements cloud ont augmenté, l'automatisation accélère les intrusions, tout comme le ransomware-as-a-service (RaaS), et les cybercriminels utilisent des outils pour identifier rapidement les vulnérabilités. Le risque d'attaques internes augmente, environ 5 % de ces cas d'incidents en 2024 sont liés à la Corée du Nord. Enfin, L'IA a contribué à l'augmentation des attaques en utilisant des outils tels que le GenAI.
-----
Nos dernières publications
Bilan des Known Exploited Vulnerabilities du mois de janvier 2025
Pourquoi parlons-nous d'installation industrielle chez Fortress Cybersecurity ?
Construire son plan protection des installations industrielles contre la menace cyber : http://www.fortress-cybersecurity.fr/plan-cybersec-indus
-----
Vulnerability Corner
Liste des Known Exploited Vulnerabilities (KEV) publiés par l'agence de cybersécurité américaine CISA la semaine dernière :
CVE-2023-34192 : Synacor Zimbra Collaboration Suite (ZCS) Cross-Site Scripting (XSS) Vulnerability, https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories,https://nvd.nist.gov/vuln/detail/CVE-2023-34192
CVE-2024-49035 : Microsoft Partner Center Improper Access Control Vulnerability, https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49035,https://nvd.nist.gov/vuln/detail/CVE-2024-49035
CVE-2024-20953 : Oracle Agile Product Lifecycle Management (PLM) Deserialization Vulnerability, https://www.oracle.com/security-alerts/cpujan2024.html,https://nvd.nist.gov/vuln/detail/CVE-2024-20953
CVE-2017-3066 : Adobe ColdFusion Deserialization Vulnerability, https://helpx.adobe.com/security/products/coldfusion/apsb17-14.html,https://nvd.nist.gov/vuln/detail/CVE-2017-3066
Vulnérabilités de composants de systèmes industriels :
Source : ICS Advisory Project dashboard https://lookerstudio.google.com/u/0/reporting/f0d99ae7-c75b-4fdd-9951-8ecada5aee5e/page/G1klC
7 x Dario Health :
Produits : USB-C Blood Glucose Monitoring System Starter Kit Android Applications
2 x High
5 x Medium
1 x Rockwell Automation :
Produit : PowerFlex 755
1 x High
Liste complète triée par CVSSv3 Score :
Vendor | Product | CVE | CVSSv3 Score | CVSSv3 Severity | EPSS | PERCENTILE | CWE |
Dario Health | USB-C Blood Glucose Monitoring System Starter Kit Android Applications | CVE-2025-20060 | 7.5 | HIGH |
|
| CWE-359 |
Rockwell Automation | PowerFlex 755 | CVE-2025-0631 | 7.5 | HIGH | 0.00043 | 0.11771 | CWE-319 |
Dario Health | USB-C Blood Glucose Monitoring System Starter Kit Android Applications | CVE-2025-24849 | 7.1 | HIGH |
|
| CWE-319 |
Dario Health | USB-C Blood Glucose Monitoring System Starter Kit Android Applications | CVE-2025-24318 | 6.8 | MEDIUM |
|
| CWE-1004 |
Dario Health | USB-C Blood Glucose Monitoring System Starter Kit Android Applications | CVE-2025-20049 | 5.8 | MEDIUM |
|
| CWE-79 |
Dario Health | USB-C Blood Glucose Monitoring System Starter Kit Android Applications | CVE-2025-23405 | 5.3 | MEDIUM |
|
| CWE-117 |
Dario Health | USB-C Blood Glucose Monitoring System Starter Kit Android Applications | CVE-2025-24316 | 5.3 | MEDIUM |
|
| CWE-213 |
Dario Health | USB-C Blood Glucose Monitoring System Starter Kit Android Applications | CVE-2025-24843 | 5.1 | MEDIUM |
|
| CWE-921 |
-----
Actualité Fortress Cybersecurity
6 mars 2025 : Stratégie de détection et de réaction en environnement industriel,inscription lien
3 avril 2025 : Gestion des vulnérabilités en environnement industriel,inscription lien
15 mai 2025 : Segmentation des réseaux industriels,inscription lien
5 juin 2025 : Accès à distance et télémaintenance des actifs industriels,inscription lien
