Le rapport 2025 de Cyble analyse les ventes d'accès initiales, les opérations de ransomware et les violations de données qui façonnent le paysage des cybermenaces en Australie et en Nouvelle-Zélande.
L’environnement des cybermenaces en Australie et en Nouvelle-Zélande a connu une nouvelle escalade tout au long de l’année 2025, en raison d’une augmentation des ventes d’accès initial, des opérations de ransomware et des violations de données à fort impact. Selon notre rapport 2025 sur le paysage des menaces en Australie et en Nouvelle-Zélande, l'activité des menaces observée entre janvier et novembre 2025 révèle un écosystème souterrain complexe et commercialisé, dans lequel l'accès au réseau compromis est activement acheté, vendu et exploité dans plusieurs secteurs.
Le rapport sur le paysage des menaces identifie une concentration persistante sur les secteurs riches en données, les acteurs de la menace ciblant de manière disproportionnée les secteurs de la vente au détail, des banques, des services financiers et des assurances (BFSI), les services professionnels et les organisations de soins de santé. Ces secteurs continuent d'attirer les attaquants en raison du volume d'informations personnelles identifiables (PII) sensibles, de données financières et des opportunités d'accès ultérieures qu'ils offrent.
Croissance initiale des ventes d’accès en 2025
L’une des conclusions centrales du rapport est la croissance continue du marché de l’accès initial. Cyble Research and Intelligence Labs (CRIL) a documenté 92 cas de vente d'accès compromis affectant des organisations en Australie et en Nouvelle-Zélande en 2025. Les organisations de vente au détail ont été les plus ciblées, représentant 31 incidents, soit environ 34 % de toutes les activités observées. Ce chiffre est plus de trois fois supérieur à celui du deuxième secteur le plus touché.
Le secteur BFSI a enregistré neuf signalements d'accès compromis, suivi par les services professionnels avec sept incidents. Ensemble, ces trois secteurs représentaient plus de la moitié de toutes les inscriptions en accès initial observées dans la région au cours de la période de référence.
Cette concentration reflète une approche stratégique de la part des intermédiaires d'accès initial. Les organisations de vente au détail et BFSI traitent régulièrement d’importants volumes de données clients et d’informations de paiement, ce qui en fait des cibles précieuses pour la monétisation ou les attaques de ransomware ultérieures. Parallèlement, les entreprises de services professionnels donnent souvent accès aux environnements clients, créant ainsi des opportunités d’exploitation de la chaîne d’approvisionnement.
Un marché du courtage fragmenté mais activement accessible
L’analyse du marché de l’accès compromis révèle un écosystème très fragmenté plutôt que dominé par un petit nombre d’acteurs majeurs. L'acteur malveillant connu sous le nom de « Cosmodrome » est apparu comme le vendeur d'accès compromis le plus prolifique au cours de la période, suivi de près par un acteur opérant sous le pseudonyme de « Shopify ».
Malgré leur activité, ces acteurs ne contrôlaient pas le marché. Les sept vendeurs les plus actifs n’étaient collectivement responsables que d’environ 26 % des annonces d’accès observées. Le reste de l'activité provenait de dizaines d'acteurs malveillants individuels publiant des annonces une ou deux fois, ce qui suggère une faible barrière à l'entrée et un marché peuplé à la fois de courtiers spécialisés et de participants opportunistes.
Cette structure indique que les ventes d’accès initial sont devenues une source de revenus accessible pour un large éventail d’acteurs menaçants, renforçant ainsi la résilience et l’évolutivité de l’économie souterraine.
Les incidents à fort impact mettent en évidence des risques plus larges
Plusieurs incidents notables documentés dans le rapport sur le paysage des menaces illustrent comment l’accès initial se traduit par un impact réel.
En juin 2025, le groupe menaçant Scattered Spider était soupçonné d’avoir orchestré une cyberattaque contre une grande compagnie aérienne australienne. Les attaquants auraient obtenu un accès non autorisé à un portail de service client, entraînant une violation de données qui a exposé les enregistrements appartenant à près de six millions de clients. Les données compromises comprenaient des noms, des adresses e-mail, des numéros de téléphone, des dates de naissance et des numéros de fidélisation.
La compagnie aérienne a confirmé que les informations plus sensibles, telles que les détails de la carte de crédit, les dossiers financiers et les données du passeport, n'étaient pas affectées car elles n'étaient pas stockées sur le système piraté. Les enquêteurs pensent que l'incident pourrait faire partie d'une campagne plus large ciblant le secteur de l'aviation.
En mars, l'acteur malveillant « Stari4ok » a annoncé la vente d'un accès non autorisé à une grande chaîne de vente au détail australienne sur le forum de cybercriminalité en langue russe Exploit. L'acteur a affirmé que l'accès impliquait un serveur d'hébergement contenant environ 250 Go de données, dont une base de données SQL de 30 Go avec une table utilisateur d'environ 71 000 enregistrements. Sur la base du chiffre d'affaires annuel déclaré de 2,6 milliards de dollars et du secteur d'activité décrit, la victime semble être un grand détaillant, bien que cela n'ait pas été confirmé de manière indépendante. L'accès a été mis aux enchères avec un prix de départ de 1 500 USD.
Une autre liste a émergé en mai lorsque l'acteur malveillant « w_tchdogs » a proposé un accès non autorisé à un portail appartenant à un fournisseur de télécommunications australien sur le forum anglophone Darkforums. L'acteur a affirmé que l'accès donnait accès à des outils de gestion de domaine et à des informations réseau critiques. Le prix d'inscription était de 750 $.
Violations de données et activité hacktiviste
Tous les incidents n'étaient pas directement liés aux ventes d'accès. À la mi-avril, des auteurs de menaces non identifiés ont obtenu un accès non autorisé aux systèmes informatiques d'un important cabinet comptable opérant en Australie et en Nouvelle-Zélande. L'organisation a publiquement confirmé la violation, affirmant que certaines données pourraient avoir été compromises et qu'une enquête était en cours. Tandis que ses activités commerciales se poursuivaient, l'entreprise a averti ses clients d'éventuelles tentatives de phishing et a obtenu des ordonnances des tribunaux des deux pays pour empêcher la diffusion des données concernées. À l’heure où nous écrivons ces lignes, aucun groupe menaçant n’a revendiqué la responsabilité.
L’activité hacktiviste est également restée visible. En janvier 2025, le groupe RipperSec affirmait avoir accédé à un dispositif de surveillance du réseau de fibre optique appartenant à un fournisseur australien de services câblés et multimédias. Le fournisseur n'aurait apparemment plus pris en charge l'appareil. Pour preuve, le groupe a publié des images suggérant une dégradation interne et une possible manipulation de données.
Voulez-vous un examen plus approfondi de ces menaces ? Vérifier Rapport sur le paysage des menaces de Cyble en Australie et en Nouvelle-Zélande 2025 soit planifier une démo Pour voir comment Cyble peut protéger votre organisation contre ces menaces.