Cyberattaques du mois de février 2025 : En février 2025, plusieurs entreprises françaises, dont certaines majeures, ont subi des attaques informatiques sophistiquées. Voici un panorama précis des incidents, des groupes impliqués, et surtout, des stratégies efficaces pour renforcer la sécurité informatique de votre organisation.
Détail des attaques, des auteurs et des méthodes employées
Groupe Renault – 25 février – Hellcat
Hellcat, spécialisé dans l’espionnage industriel, cible principalement les secteurs stratégiques via des malwares furtifs intégrés dans des mises à jour factices.
Recommandations concrètes :
- Contrôle rigoureux des sources d’installation logicielle.
- Surveillance continue des comportements inhabituels des systèmes critiques via EDR.
OBJECTIF-EMBALLAGES.FR, HALGAND.COM, CONNEXION-INFORMATIQUE.FR, AIRLIQUIDE.COM – Février – Clop
Clop est connu pour ses attaques ransomware massives exploitant des failles zero-day dans des logiciels répandus (MOVEit, Accellion).
Recommandations concrètes :
- Veille proactive et immédiate application des patchs de sécurité.
- Sécurisation renforcée des transferts de données sensibles.
www.electro-fusion.com – 21 février – Ransomhub
Ransomhub s’appuie sur des intrusions par compromission d’identifiants administratifs via force brute ou hameçonnage ciblé.
Recommandations concrètes :
- Authentification multifactorielle systématique.
- Surveillance active des tentatives de connexions suspectes.
l.warsemann.fr – 21 février – Qilin
Qilin privilégie les ransomwares à double extorsion, cryptant les données et menaçant leur divulgation publique.
Recommandations concrètes :
- Sauvegarde externalisée régulière.
- Protection avancée des points d’accès (XDR).
VISEO, ADULLACT, Ayomi, Omydoo, SOLEIL – Février – Fog
Fog utilise principalement des techniques avancées d’hameçonnage et d’usurpation d’identité pour obtenir un accès initial aux systèmes internes.
Recommandations concrètes :
- Formation continue des employés sur la reconnaissance des emails frauduleux.
- Solutions avancées de filtrage et d’analyse des emails entrants.
CESI – 11 février – Termite
Termite effectue des attaques par déni de service distribué (DDoS) afin d’interrompre les services critiques.
Recommandations concrètes :
- Mise en œuvre d’une infrastructure robuste anti-DDoS.
- Préparation de plans de continuité et reprise d’activité.
boostheat.com – 5 février – Apt73/Bashe
APT73/Bashe mène des attaques persistantes avancées (APT) principalement à visée d’espionnage industriel ou politique.
Recommandations concrètes :
- Surveillance continue via des outils de sécurité avancée (EDR, SIEM).
- Mise en place d’un SOC réactif.
elitt-sas.fr – 4 février – Akira
Akira opère principalement via ransomware, ciblant des systèmes vulnérables exposés directement sur Internet.
Recommandations concrètes :
- Audit régulier des vulnérabilités externes.
- Mise en place d’un pare-feu de nouvelle génération avec détection proactive des intrusions.
HRS_IDEA_Expertises – Février – Lynx
Lynx privilégie des attaques par force brute automatisées sur les accès distants non sécurisés (RDP, VPN mal configurés).
Recommandations concrètes :
- Configuration stricte des accès distants avec VPN sécurisé.
- Mise en place de seuils stricts et d’alertes en cas de tentatives multiples d’accès.
Évolution des attaques observées en 2024 et les Cyberattaques du mois de février 2025
- Fog : Très actif en février (44 attaques), confirmant une tendance haussière depuis octobre 2024 (25 attaques). Nécessité d’une vigilance accrue sur l’hameçonnage.
- Akira : Pic notable en février avec 77 attaques contre 10 en octobre 2024, révélant une recrudescence spectaculaire des attaques ransomware. Impératif de renforcer immédiatement les systèmes exposés.
- Ransomhub : Explosion des attaques en février (102 incidents), contre une moyenne de 20-25 en 2024. Priorité absolue à la sécurisation des identifiants administrateurs.
- Clop : Hausse dramatique en février avec 335 attaques, après plusieurs mois d’activité faible (0-5 attaques/mois). Ceci souligne une exploitation massive de failles zero-day critiques. Surveillance continue indispensable.
- Qilin : Augmentation modérée mais constante avec 42 incidents en février. Importance d’une protection avancée contre les ransomwares à double extorsion.
- APT73/Bashe : Faible volume mais persistant, entre 6 et 20 incidents mensuels depuis novembre 2024. Surveillance continue et proactive des systèmes critiques indispensable.
- Termite : 7 incidents en février après quelques mois d’inactivité, marquant un regain soudain d’activité DDoS. Nécessité d’une infrastructure anti-DDoS robuste et permanente.
- Lynx : Stabilisation autour de 15-40 attaques mensuelles depuis décembre 2024, confirmant la constance des attaques par force brute. Vigilance permanente requise sur les accès distants exposés.
Face à l’évolution rapide et la complexification croissante des cyberattaques, chaque entreprise doit impérativement renforcer immédiatement ses dispositifs de sécurité technique et organisationnelle. Ces recommandations doivent être intégrées rapidement aux politiques de sécurité pour anticiper et contrer efficacement ces menaces grandissantes.
