Le Journal

An attacker can use several vulnerabilities of Oracle VM VirtualBox, dated 16/04/2025. View online : https://vigilance.fr/vulnerability/...

An attacker can use several vulnerabilities of Oracle Database, dated 16/04/2025. View online : https://vigilance.fr/vulnerability/...

Un attaquant peut employer plusieurs vulnérabilités de Oracle Database, du 16/04/2025. Voir en ligne : https://vigilance.fr/vulnerabilite/...

Following the recent cyberattack on Endesa, one of Spain's largest electricity and gas providers, Outpost24's threat intelligence team has compiled a comprehensive analysis of the incident based on publicly available evidence from underground forums, leaked dataset listings, and the threat actor's own statements. The analysis examines the likely initial access vector, the probable origin of the data, and the broader security implications associated with compromised credentials and privileged access. What we know about the Endesa data breach In early January 2026, a threat actor began advertising the sale of a database allegedly belonging to Endesa. According to the seller, who uses the aliases "glock" and "spain", the database contains personal and financial information relating to more than 20 million individuals and offered it for sale on underground forums specializing in database trading. On January 11, 2026, Endesa confirmed in a statement that it had detected evidence of unauthorized and illegitimate access to certain personal data of customers related to their energy contracts. The company stated that password data was not compromised and that, at the time of disclosure, there was no evidence of the exposed data being used fraudulently. Endesa did, however, urge impacted customers to remain vigilant against potential phishing or spam campaigns. Endesa reported that the attackers accessed and likely exfiltrated basic customer identification information, contact details, national identity numbers, contractual information, and payment details, including IBANs. To date, the company has not reported operational outages or system disruption beyond the unauthorized extraction of data. Affected individuals have been notified, including customers of Endesa's gas distributor, Energía XXI. At the time of this analysis, no threat actor has been formally attributed to the incident. How the breach likely occurred The analysis below reflects Outpost24's threat intelligence team's assessment of the most likely attack path, based on observed threat actor behavior, leaked datasets, and technical indicators consistent with credential-based access and backend data extraction. Initial access vector via compromised legitimate credentials: The threat actor's own statements, specifically "I also do cracking as a service" and "Don't blame me for my work; blame your employees for not doing theirs," strongly suggest that initial access was obtained through compromised credentials. This would have enabled the attacker to perform lateral movement across internal systems with minimal resistance and potentially access privileged information directly. Data exfiltration without encryption or operational disruption: Although there are references to attempted negotiations and implied pressure tactics regarding the potential sale or disclosure of the data, there is no evidence of encryption, ransomware deployment, or destructive activity. All signs indicate this was a breach focused exclusively on exfiltration rather than disruption or extortion through encryption. Salesforce Customer Relationship Management (CRM) platform likely involved: Based on the files listed in the threat actor's publications, it is possible that the data was exfiltrated using a Salesforce backend data extraction mechanism, most likely accessible via compromised employee or service credentials with elevated Application Programming Interfaces (API) and integration privileges. The inclusion of Change Event objects, Data Lake model tables, and enriched datasets indicates access beyond standard CRM usage, pointing to integration and analytics roles. Threat actor behavior and analysis Analysis of underground activity and observed behavior provides insight into the likely characteristics, intent, and capabilities of the individual behind the data sale. Endesa data breach DarkForums post Threat actor profile: Several indicators suggest the activity is attributable to a lone,…

Début janvier 2026, Endesa a confirmé un accès non autorisé à des données clients affectant des millions de personnes. Si la communication officielle s'est concentrée sur la gestion de l'incident et l'information des clients, l'analyse des activités clandestines permet d'éclairer plus précisément la mécanique de l'attaque et les vulnérabilités structurelles mises en évidence. L'équipe Threat Intelligence d'Outpost24 a mené une enquête approfondie fondée sur l'observation de forums clandestins, l'analyse de listings de bases de données divulguées et les déclarations de l'attaquant présumé. Les conclusions suggèrent fortement une compromission d'identifiants légitimes ayant permis une exfiltration massive de données depuis un environnement CRM backend, très probablement via des accès Salesforce disposant de privilèges élevés, plutôt qu'un schéma classique de ransomware. Cette analyse met en lumière un angle encore sous-estimé des cyberattaques actuelles : l'exploitation de comptes légitimes et d'API sur des plateformes tierces critiques, capables de générer des violations de données majeures sans provoquer d'interruption opérationnelle ni de chiffrement visible. À la suite de la récente cyberattaque visant Endesa, l'un des principaux fournisseurs d'électricité et de gaz en Espagne, l'équipe Threat Intelligence d'Outpost24 a mené une analyse approfondie fondée sur des sources publiques. Cette enquête s'appuie sur l'observation d'activités sur des forums clandestins, l'analyse de listings de bases de données divulguées et les déclarations attribuées à l'auteur présumé de l'attaque. Elle vise à comprendre le mode d'accès initial le plus probable, l'origine des données compromises et les implications plus larges liées à l'exploitation d'identifiants légitimes et d'accès privilégiés. Ce que nous savons de la fuite de données chez Endesa Début janvier 2026, un acteur malveillant a commencé à proposer à la vente une base de données prétendument issue d'Endesa sur des forums clandestins spécialisés dans le commerce de bases de données. Utilisant les pseudonymes « glock » et « spain », le vendeur affirmait que les données concernaient plus de 20 millions de personnes et incluaient des informations personnelles et financières. Le 11 janvier 2026, Endesa a confirmé avoir détecté un accès non autorisé et illégitime à certaines données personnelles de clients liées à leurs contrats d'énergie. L'entreprise a précisé que les mots de passe n'avaient pas été compromis et qu'aucune utilisation frauduleuse des données exposées n'avait été constatée au moment de la communication. Endesa a toutefois invité les clients concernés à rester vigilants face à d'éventuelles campagnes de phishing ou de spam. Selon Endesa, les données concernées incluent des informations d'identification de base, des coordonnées, des numéros d'identité nationale, des informations contractuelles ainsi que des données de paiement, notamment des IBAN. Aucun incident opérationnel ni perturbation des systèmes n'a été signalé au-delà de l'extraction non autorisée des données. Les personnes concernées, y compris les clients du distributeur de gaz Energía XXI, ont été informées. À la date de cette analyse, aucun acteur n'a été officiellement attribué à l'attaque. Comment la compromission a probablement eu lieu L'analyse d'Outpost24 indique que le scénario le plus probable repose sur une compromission d'identifiants légitimes. Les déclarations attribuées à l'attaquant, telles que « I also do cracking as a service » ou encore « Don't blame me for my work ; blame your employees for not doing theirs », suggèrent fortement un accès initial obtenu via des identifiants compromis. Ce type d'accès permet généralement une circulation latérale au sein des systèmes internes avec peu de résistance et offre la possibilité d'accéder directement à des données sensibles ou privilégiées. Aucun élément ne laisse penser à un déploiement de ransomware, à un chiffrement des données ou à une tentative de…