Revue De Presse

Revue de presse – 17 novembre 2025

Kraken Ransomware : un chiffrement optimisé grâce au benchmarking

Le ransomware Kraken utilise une technique avancée : il exécute un benchmark sur la machine infectée avant de chiffrer les fichiers.
Il génère un fichier de test, applique différents algorithmes et mesure la vitesse pour choisir entre chiffrement complet ou partiel, évitant de ralentir visiblement la machine.

Kraken inclut aussi des modules visant :

  • SQL Server
  • partages réseau
  • Hyper-V / VM
  • disques locaux

Il supprime les shadow copies, désactive les services de sauvegarde et efface ses traces.
Les fichiers chiffrés reçoivent l’extension .zpsc.

👉 Preuve que les ransomwares deviennent adaptatifs et de plus en plus difficiles à détecter.

Source :
https://www.bleepingcomputer.com/news/security/kraken-ransomware-benchmarks-systems-for-optimal-encryption-choice/

Le courtier d’accès russe impliqué dans Yanluowang plaide coupable

Aleksey Volkov, access broker russe, a reconnu avoir vendu des accès piratés (VPN, RDP, AD, etc.) à différents groupes cybercriminels, notamment les opérateurs du ransomware Yanluowang.

Les courtiers d’accès :

  • compromettent les réseaux (phishing, bruteforce, vulnérabilités),
  • stockent les accès,
  • les revendent sur les forums du darkweb.

Son arrestation est un coup dur pour toute la chaîne logistique cybercriminelle — sans accès initiaux, de nombreux groupes de ransomware ne peuvent plus opérer efficacement.

Source :
https://www.zataz.com/le-courtier-dacces-russe-qui-a-fait-tomber-les-ranconneurs-de-yanluowang

Conteneurs renforcés : réduire drastiquement les vulnérabilités

La plupart des images Docker basées sur Debian, Ubuntu ou CentOS contiennent des centaines de vulnérabilités connues, car elles embarquent énormément d’éléments inutiles (“kitchen-sink”).

Les hardened containers suppriment ces risques grâce à :

  • des images minimales,
  • absence de shell, d’outils inutiles, de librairies superflues,
  • exécution en non-root,
  • filesystem en lecture seule,
  • mise à jour automatique dès qu’un correctif apparaît.

Résultat : certaines images durcies atteignent 0 vulnérabilité.

Source :
https://www.darkreading.com/application-security/hardened-containers-eliminate-common-source-vulnerabilities

Kerberoasting 2025 : une menace Active Directory toujours critique

Kerberoasting reste en 2025 l’un des vecteurs d’attaque les plus efficaces dans Active Directory.
Tout utilisateur authentifié peut demander un ticket de service (TGS) et tenter de casser le mot de passe du compte de service hors-ligne.

Pourquoi ça marche ?

  • Mots de passe trop faibles ou jamais renouvelés,
  • Comptes de service avec privilèges excessifs,
  • Utilisation persistante de RC4,
  • Manque de surveillance des requêtes TGS.

Les défenses recommandées :

  • mots de passe de 25+ caractères,
  • utilisation de gMSA,
  • migration vers AES-256,
  • rotation régulière,
  • surveillance SIEM des anomalies TGS.

Source :
https://www.bleepingcomputer.com/news/security/kerberoasting-in-2025-how-to-protect-your-service-accounts/

RondoDox : exploitation massive de XWiki (CVE-2025-24893)

Le botnet RondoDox exploite activement une vulnérabilité critique (score 9.8) dans XWiki, permettant une exécution de code à distance sans authentification.

Fonctionnement :

  • scan massif d’Internet,
  • compromission instantanée des instances non corrigées,
  • intégration des machines au botnet,
  • usage pour DDoS, exfiltration, relais d’attaque.

Correctifs disponibles (depuis février 2025) :

  • 15.10.11
  • 16.4.1
  • 16.5.0RC1

👉 Exemple classique d’une exploitation à grande échelle dès qu’un patch tarde à être appliqué.

Source :
https://thehackernews.com/2025/11/rondodox-exploits-unpatched-xwiki.html

© 2025 Veille Cyber & Tech
Built with Hugo
Theme Stack designed by Jimmy