Barracuda full logo

SOC Threat Radar — Octobre 2025

Thèmes:
21 oct. 2025
|
Laila Mubashar

Au cours du mois dernier, les solutions de sécurité, les ressources de threat intelligence et les analystes SOC de Barracuda Managed XDR ont observé les comportements d'attaque notables suivants :

  • Augmentation du nombre d'attaques par ransomware ciblant les VPN SonicWall vulnérables
  • Scripts Python utilisés pour exécuter des outils malicieux discrètement
  • De plus en plus de comptes Microsoft 365 visés par des attaques

Augmentation du nombre d'attaques par ransomware Akira ciblant les VPN SonicWall vulnérables

Que se passe-t-il ?

Le groupe Akira ransomware-as-a-service cible les organisations via des dispositifs VPN SonicWall vulnérables. Barracuda a émis un avis de sécurité concernant cette menace en août. Trois mois plus tard, le niveau de danger reste élevé car les attaques continuent d'évoluer.

Ces attaques exploitent une vulnérabilité datant d'un an et corrigée (CVE-2024-40766). Elles réussissent car tous les utilisateurs n'ont pas appliqué le correctif et parce que les pirates peuvent utiliser des identifiants volés (avant l'application du correctif) pour intercepter les mots de passe à usage unique (OTP). Ceux-ci génèrent des jetons de connexion valides et permettent aux pirates de contourner l'authentification multifactorielle (MFA), même dans les systèmes qui ont été mis à jour.

Akira est réputé pour passer très rapidement de l'infection au chiffrement. On a récemment découvert qu'il utilisait des outils légitimes, tels que des logiciels de surveillance et de Gestion à distance (RMM), pour éviter d'être détecté et pour désactiver les outils de sécurité et les systèmes de backup afin d'empêcher la récupération.

Votre organisation peut être à risque si vous :

  • N'avez pas encore appliqué le correctif ou réinitialisé les identifiants tels que les mots de passe après l'application du correctif
  • Avez des comptes anciens ou inutilisés connectés au firewall
  • Disposez de comptes de service en arrière-plan non surveillés, dotés de privilèges d'accès élevés et dont les mots de passe ne sont pas régulièrement modifiés

Pour protéger votre organisation :

  • Utilisez un outil d'analyse tel que Managed Vulnerability Security de Barracuda pour vérifier si un VPN SonicWall non corrigé est installé sur votre réseau
  • Appliquez le correctif de sécurité
  • Réinitialisez tous les identifiants VPN
  • Mettez à niveau vers la version 7.3.0 ou ultérieure du firmware SonicOS, qui offre des protections améliorées
  • Auditez et supprimez tous les comptes inutilisés ou anciens, y compris les comptes de service.
  • Changez régulièrement les mots de passe de tous les comptes locaux et de service, en particulier ceux qui ont été transférés depuis des systèmes plus anciens
  • Limitez l'accès VPN aux adresses IP de confiance et bloquez les connexions provenant de pays ou de fournisseurs d'hébergement avec lesquels vous n'avez pas de relations commerciales

Si vous pensez qu’il y a une chance que vos identifiants ou vos OTP aient été exposés, agissez rapidement. Réinitialisez tous les mots de passe, adoptez une authentification multifactorielle résistante au hameçonnage, telle que les clés de sécurité FIDO2, et examinez les journaux VPN à la recherche d'activités inhabituelles, telles que des schémas de connexion inhabituels ou des accès depuis des emplacements inconnus.

Scripts Python utilisés pour exécuter des outils malicieux discrètement

Que se passe-t-il ?

Les analystes SOC de Barracuda ont constaté une hausse des outils de piratage lancés et exécutés par des scripts Python (programmes informatiques).

Les outils de piratage comprennent le célèbre voleur de mots de passe Mimikatz, le langage de script légitime PowerShell et des outils de remplissage automatique des identifiants/scripts d'automatisation permettant de tester les noms d'utilisateur et mots de passe volés sur des sites web.

L’utilisation de scripts Python pourrait être un moyen pour les pirates d’éviter la détection ou d’accélérer et d’automatiser leurs attaques. 

Par exemple, les scripts Python peuvent aider à dissimuler l'exécution d'outils malicieux avec des programmes d'apparence légitime qui n'éveillent pas les soupçons.

L'utilisation de Python pour automatiser l'exécution d'outils de piratage réduit également le besoin d'intervention manuelle susceptible de déclencher une alerte de sécurité, et augmente la rapidité et l'efficacité des attaques. Cela permet aux pirates de mener rapidement leurs attaques, réduisant ainsi le délai de détection et de réponse. 

Les scripts Python automatisés peuvent également exécuter plusieurs opérations simultanément, permettant aux pirates d’effectuer plusieurs actions à la fois, comme rechercher des vulnérabilités tout en exfiltrant des données.

Votre organisation peut être à risque si vous :

  • Manquez de capacités de détection fiables et intégrées pour repérer les activités suspectes ou malveillantes
  • N'exécutez pas les logiciels les plus récents
  • N'avez pas mis en place des politiques de mots de passe fiables et cohérentes et des mesures d'authentification multifactorielle
  • Manquez de formation régulière de sensibilisation à la cybersécurité pour les employés

Pour protéger votre organisation :

  • Installez une protection des terminaux, telle que Barracuda Managed Endpoint Security, pour détecter les menaces basées sur Python
  • Corrigez les vulnérabilités connues et mettez à jour régulièrement vos logiciels et systèmes
  • Limitez les droits d'accès et les autorisations des employés
  • Formez régulièrement vos employés aux dernières menaces, aux éléments à surveiller et à la manière de signaler tout élément suspect

De plus en plus de comptes Microsoft 365 visés par des attaques

Que se passe-t-il ?

Barracuda constate une hausse des activités de connexion inhabituelles sur les comptes Microsoft 365. Il s'agit de connexions qui ne sont pas conformes au comportement habituel d'un utilisateur, provenant d'un emplacement ou d'un appareil inattendu, ou à un moment où l'utilisateur n'est généralement pas en ligne. Cela peut indiquer qu'un pirate a compromis les identifiants de l'utilisateur et qu'il essaie d'accéder au compte.

Cette hausse reflète la popularité croissante de Microsoft 365 en tant qu'outil de productivité pour les entreprises avec de multiples applications intégrées.  

Un compte piraté peut fournir à un hacker :

  • Un accès confirmé qu’ils peuvent vendre à d’autres cybercriminels, tels que des courtiers en accès initial
  • L'accès à l'ensemble du réseau pour permettre des mouvements latéraux
  • La capacité de localiser et de dérober des e-mails, des fichiers, des données et des messages sensibles, qu'ils peuvent utiliser à des fins d'extorsion ou d'attaques par usurpation d'identité
  • Un canal permettant de diffuser des charges utiles malveillantes supplémentaires
  • Et plus encore

Votre organisation peut être à risque si vous :

  • Publiez en ligne les noms et coordonnées des cadres, des équipes financières, RH et informatiques, de manière à ce qu'ils soient facilement identifiables par des tiers
  • N'avez pas de politique de mot de passe fiable et cohérente et n'avez pas activé la MFA pour tout le monde
  • Constatez des connexions inhabituelles provenant de pays ou d'appareils inconnus
  • Manquez de formation régulière de sensibilisation à la cybersécurité pour les employés

Pour protéger votre organisation

  • Activez la MFA pour tous les comptes Microsoft 365
  • Limitez les droits d'accès et les autorisations des employés
  • Installez une protection pour les services et le trafic cloud, comme Barracuda Managed XDR Cloud Security
  • Formez régulièrement vos employés aux dernières menaces, aux éléments à surveiller et à la manière de signaler tout élément suspect
  • Bloquez l'accès depuis des emplacements ou appareils à risque

Comment le système Barracuda Managed XDR peut-il aider votre entreprise ?

Barracuda Managed XDR offre une protection avancée contre les menaces identifiées dans ce rapport en combinant une technologie de pointe avec une surveillance experte du SOC. Avec des renseignements sur les menaces en temps réel, des réponses automatisées, une équipe SOC disponible 24 h/24 et 7 j/7 et 

XDR Managed Vulnerability Security qui identifie les failles et les négligences en matière de sécurité, Barracuda Managed XDR assure une protection complète et proactive de votre réseau, de votre cloud, de vos e-mails, de vos serveurs et de vos terminaux, vous permettant ainsi de garder une longueur d'avance sur les menaces en constante évolution.

Pour en savoir plus sur la manière dont nous pouvons vous aider, veuillez contacter Barracuda Managed XDR

Stoppez les menaces avec une cybersécurité gérée 24/7
Laila Mubashar

En tant qu'analyste principale en cybersécurité, Laila Mubashar dirige les efforts de détection, d'investigation et de réponse en matière de menaces avancées afin de protéger les organisations contre les risques cyber, en constante évolution. Elle se focalise sur la défense proactive, l'analyse des incidents et le renforcement de la posture de sécurité globale dans les divers environnements des clients.

 

Billets associés :
AI and automation in cybersecurity: Databricks & Barracuda experts share what’s next
AI and automation in cybersecurity: Databricks & Barracuda experts share what’s next
 Bientôt disponible : l'opportunité d'endosser le rôle du hacker
Bientôt disponible : l'opportunité d'endosser le rôle du hacker
 Les retards dans la gestion des violations de sécurité des e-mails peuvent multiplier par huit le risque de ransomware
Les retards dans la gestion des violations de sécurité des e-mails peuvent multiplier par huit le risque de ransomware
 La défense remporte les championnats : les enseignements du sport appliqués à la cybersécurité
La défense remporte les championnats : les enseignements du sport appliqués à la cybersécurité
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.