Trellix source code breach claimed by RansomHouse hackers

Infiltration du groupe RansomHouse chez Trellix

Le groupe cybercriminel RansomHouse a revendiqué une intrusion dans les systèmes de l’entreprise de cybersécurité Trellix, survenue le 17 avril. Les attaquants affirment avoir accédé au référentiel de code source et au système de gestion d’appliances, accompagnant leurs dires de captures d’écran.

Points clés :

• Incident : Accès non autorisé au référentiel de code source de Trellix.
• Revendication : Le groupe RansomHouse, spécialisé dans l’extorsion de données et l’utilisation d’outils de chiffrement avancés (tels que Mario et MrAgent), a ajouté Trellix à son portail de fuite de données.
• Statut actuel : Trellix confirme l’intrusion et l’enquête en cours, mais précise, à ce stade, n’avoir trouvé aucune preuve que son processus de distribution de code ait été compromis ou que le code source ait été exploité.
• Mode opératoire : Selon les attaquants, l’attaque a impliqué une phase de chiffrement de données.

Vulnérabilités :

• Aucune CVE spécifique n’a été mentionnée dans l’article. L’intrusion semble résulter d’un accès non autorisé aux systèmes internes, dont les vecteurs d’entrée précis n’ont pas encore été divulgués par Trellix.

Recommandations :

• Surveillance accrue : Les entreprises utilisant des produits Trellix doivent rester vigilantes face à d’éventuelles alertes de sécurité liées à cette compromission.
• Veille proactive : Il est conseillé de surveiller les communications officielles de Trellix, qui s’est engagé à fournir des détails supplémentaires dès que l’enquête le permettra.
• Protection des infrastructures : Compte tenu des outils utilisés par RansomHouse, les organisations doivent renforcer la protection de leurs hyperviseurs (notamment VMware ESXi) et maintenir une politique stricte de sauvegarde hors ligne.

Source