Hunters ferme ses portes 🏴‍☠️, Cisco corrige faille critique 🔧, Aeza Group sanctionné par les US

Maxime Blanc

Maxime Blanc

4 min read

Bonjour et bienvenue dans l'édition du samedi 5 juillet !

A la une aujourd'hui:

  • Le groupe de ransomware Hunters International ferme ses portes et offre des déchiffreurs gratuits
  • Faille Critique chez Cisco : des identifiants statiques exposent les systèmes Unified CM
  • Le Trésor américain sanctionne Aeza Group, un hébergeur russe complice des groupes de ransomware
  • Deux nouveaux groupes hacktivistes pro-russes ciblent l'Ukraine et recrutent des informateurs
  • Le Campus Cyber en quête d'un second souffle

Le groupe de ransomware Hunters International ferme ses portes et publie des outils de déchiffrages gratuits

Points Clés :

  • Hunters International a officiellement cessé ses activités et propose des déchiffreurs gratuits à ses victimes
  • Le groupe avait précédemment annoncé sa transformation en "World Leaks", se concentrant uniquement sur l'extorsion de données
  • Hunters International a revendiqué près de 300 attaques dans le monde, ciblant des organisations de toutes tailles

Description :

Le groupe de ransomware-as-a-service Hunters International a annoncé la fermeture de ses opérations et a publié des outils de déchiffrement gratuits aux victimes. Cette décision fait suite à une surveillance accrue des forces de l'ordre et à une baisse de rentabilité. Le groupe avait précédemment pivoté vers un modèle d'extorsion pure sous le nom "World Leaks", abandonnant le chiffrement des données.

Pourquoi c'est important :

Cette fermeture marque la fin d'une des opérations de ransomware les plus actives des dernières années, responsable d'attaques contre des organisations majeures comme le US Marshals Service, Hoya et Tata Technologies. La publication de déchiffreurs gratuits pourrait aider de nombreuses victimes à récupérer leurs données sans payer de rançon, mais soulève des questions sur les motivations réelles du groupe, si les outils de déchiffrements sont fiables et son possible retour sous une autre forme.

Faille Critique chez Cisco : des identifiants statiques exposent les systèmes Unified CM

Points Clés :

  • Cisco a corrigé une vulnérabilité critique (CVE-2025-20309) avec un score CVSS de 10.0 dans Unified Communications Manager
  • La faille permet l'accès root via des identifiants statiques laissés pendant le développement
  • Les versions 15.0.1.13010-1 à 15.0.1.13017-1 sont affectées, quelle que soit la configuration

Description :

Cisco a publié des correctifs pour une vulnérabilité critique dans Unified Communications Manager qui permet à un attaquant de se connecter en tant qu'utilisateur root grâce à des identifiants codés en dur. Cette faille, découverte lors de tests internes, n'aurait pas encore été exploitée dans la nature mais représente un risque majeur pour les systèmes affectés.

Pourquoi c'est important :

Cette vulnérabilité est particulièrement préoccupante car elle offre un accès privilégié complet aux systèmes de communication d'entreprise. Un attaquant pourrait exécuter des commandes arbitraires, compromettre les communications internes, et potentiellement s'infiltrer plus profondément dans le réseau. Pour les organisations utilisant Unified CM, l'application immédiate du correctif est cruciale.

Le Trésor américain sanctionne Aeza Group, un hébergeur russe complice des groupes de ransomware

Points Clés :

  • Aeza Group, une entreprise russe fournissant des services d'hébergement "bulletproof", a été sanctionnée pour son soutien aux cybercriminels
  • L'entreprise a aidé des groupes de ransomware comme BianLian et facilité le fonctionnement du marché noir BlackSprut
  • Quatre dirigeants et deux filiales ont également été sanctionnés dans une action coordonnée avec le Royaume-Uni

Description :

Le département du Trésor américain a imposé des sanctions contre Aeza Group, une entreprise russe fournissant des services d'hébergement "bulletproof" qui permettent aux cybercriminels d'éviter les forces de l'ordre. L'entreprise a fourni l'infrastructure technique nécessaire aux groupes de ransomware, aux voleurs de données et aux marchés de drogues sur le darknet. Plusieurs dirigeants de l'entreprise avaient déjà été arrêtés en Russie en avril pour trafic de drogue à grande échelle.

Pourquoi c'est important :

Cette action s'inscrit dans une stratégie plus large des autorités américaines visant à démanteler l'infrastructure technique qui permet aux cybercriminels d'opérer. En ciblant les fournisseurs d'hébergement "bulletproof", les États-Unis et leurs alliés s'attaquent aux fondations mêmes de l'écosystème criminel en ligne. Ces sanctions illustrent également la coopération internationale croissante contre les services qui facilitent les cyberattaques visant les entreprises et les infrastructures occidentales.

Deux nouveaux groupes hacktivistes pro-russes ciblent l'Ukraine et recrutent des informateurs

Points Clés :

  • Deux nouveaux groupes hacktivistes pro-russes, "IT Army of Russia" et "TwoNet", ont émergé pour mener des cyberattaques contre l'Ukraine et ses alliés
  • Ces groupes utilisent Telegram pour coordonner leurs opérations, recruter des informateurs et collecter des renseignements sur leurs cibles
  • Leurs tactiques principales incluent des attaques DDoS, des défigurations de sites internet et le vol de données

Description :

Selon un rapport d'Intel 471 (entreprise de cybersécurité), deux nouveaux groupes hacktivistes pro-russes sont apparus début 2025. L'IT Army of Russia, actif depuis mars, cible principalement des entreprises ukrainiennes et recrute des informateurs travaillant dans les infrastructures critiques. TwoNet, apparu en janvier, revendique environ 40 membres et a ciblé des infrastructures en Ukraine, Espagne et Royaume-Uni.

Pourquoi c'est important :

Ces nouveaux groupes illustrent l'évolution continue du paysage des menaces pro-russes, où les acteurs se rebaptisent et adaptent leurs tactiques. Leur recrutement actif d'informateurs représente une menace particulière pour les infrastructures critiques ukrainiennes. Cette évolution s'inscrit dans un contexte plus large où certains groupes hacktivistes russes, comme KillNet, délaissent le militantisme politique au profit d'opérations cybercriminelles lucratives.

Le Campus Cyber en quête d'un second souffle

Points Clés :

  • Le Campus Cyber, créé en 2020, fait face à des départs d'entreprises et doit redéfinir sa mission
  • Joffrey Célestin-Urbain, nouveau président depuis mars, souhaite transformer le lieu au-delà de sa dimension immobilière
  • L'ambition est de créer une interface entre l'offre et la demande en cybersécurité, notamment avec l'arrivée de NIS 2

Description :

Lancé à l'initiative d'Emmanuel Macron, le Campus Cyber peine à atteindre son objectif de fédérer l'écosystème français de cybersécurité. Après s'être concentré principalement sur la gestion immobilière, le nouveau président Joffrey Célestin-Urbain veut insuffler une nouvelle dynamique en favorisant les synergies entre acteurs et en développant le capital humain plutôt que d'étendre l'infrastructure.

Pourquoi c'est important :

Cette transformation est cruciale pour la souveraineté numérique française. Avec l'arrivée de la directive NIS 2, de nombreuses PME et collectivités devront renforcer leur cybersécurité. Le Campus Cyber pourrait devenir le lien de confiance entre l'offre et la demande, permettant à la France de développer des "champions" capables de rivaliser avec les géants étrangers omniprésents sur le marché français.

Avant de partir, j'ai 2 (petits) services à te demander :

  1. Réponds à ce mail avec ton avis/ressenti sur cette édition. C'est toujours un plaisir de pouvoir échanger avec toi sur ces sujets, je réponds à tout le monde ! Tu peux aussi donner ton avis en cliquant sur les boutons ci-dessous.
  2. Si tu as trouvé cette newsletter utile, partage-la à tes proches. C'est ce qui m'aide le plus à la faire grandir.

Bon samedi à toi !