Le Journal

Ils sont poursuivis pour « délits d’abus de biens sociaux et présentation de comptes annuels inexacts ».

Civilians fled a Kurdish-held region of northern Syria on Friday before a deadline set by the army, which seeks to expand its control over the area after driving Kurdish forces from Aleppo. The government is seeking to extend its authority nationwide following the ousting of longtime leader Bashar al-Assad in December 2024.

Début janvier 2026, Endesa a confirmé un accès non autorisé à des données clients affectant des millions de personnes. Si la communication officielle s'est concentrée sur la gestion de l'incident et l'information des clients, l'analyse des activités clandestines permet d'éclairer plus précisément la mécanique de l'attaque et les vulnérabilités structurelles mises en évidence. L'équipe Threat Intelligence d'Outpost24 a mené une enquête approfondie fondée sur l'observation de forums clandestins, l'analyse de listings de bases de données divulguées et les déclarations de l'attaquant présumé. Les conclusions suggèrent fortement une compromission d'identifiants légitimes ayant permis une exfiltration massive de données depuis un environnement CRM backend, très probablement via des accès Salesforce disposant de privilèges élevés, plutôt qu'un schéma classique de ransomware. Cette analyse met en lumière un angle encore sous-estimé des cyberattaques actuelles : l'exploitation de comptes légitimes et d'API sur des plateformes tierces critiques, capables de générer des violations de données majeures sans provoquer d'interruption opérationnelle ni de chiffrement visible. À la suite de la récente cyberattaque visant Endesa, l'un des principaux fournisseurs d'électricité et de gaz en Espagne, l'équipe Threat Intelligence d'Outpost24 a mené une analyse approfondie fondée sur des sources publiques. Cette enquête s'appuie sur l'observation d'activités sur des forums clandestins, l'analyse de listings de bases de données divulguées et les déclarations attribuées à l'auteur présumé de l'attaque. Elle vise à comprendre le mode d'accès initial le plus probable, l'origine des données compromises et les implications plus larges liées à l'exploitation d'identifiants légitimes et d'accès privilégiés. Ce que nous savons de la fuite de données chez Endesa Début janvier 2026, un acteur malveillant a commencé à proposer à la vente une base de données prétendument issue d'Endesa sur des forums clandestins spécialisés dans le commerce de bases de données. Utilisant les pseudonymes « glock » et « spain », le vendeur affirmait que les données concernaient plus de 20 millions de personnes et incluaient des informations personnelles et financières. Le 11 janvier 2026, Endesa a confirmé avoir détecté un accès non autorisé et illégitime à certaines données personnelles de clients liées à leurs contrats d'énergie. L'entreprise a précisé que les mots de passe n'avaient pas été compromis et qu'aucune utilisation frauduleuse des données exposées n'avait été constatée au moment de la communication. Endesa a toutefois invité les clients concernés à rester vigilants face à d'éventuelles campagnes de phishing ou de spam. Selon Endesa, les données concernées incluent des informations d'identification de base, des coordonnées, des numéros d'identité nationale, des informations contractuelles ainsi que des données de paiement, notamment des IBAN. Aucun incident opérationnel ni perturbation des systèmes n'a été signalé au-delà de l'extraction non autorisée des données. Les personnes concernées, y compris les clients du distributeur de gaz Energía XXI, ont été informées. À la date de cette analyse, aucun acteur n'a été officiellement attribué à l'attaque. Comment la compromission a probablement eu lieu L'analyse d'Outpost24 indique que le scénario le plus probable repose sur une compromission d'identifiants légitimes. Les déclarations attribuées à l'attaquant, telles que « I also do cracking as a service » ou encore « Don't blame me for my work ; blame your employees for not doing theirs », suggèrent fortement un accès initial obtenu via des identifiants compromis. Ce type d'accès permet généralement une circulation latérale au sein des systèmes internes avec peu de résistance et offre la possibilité d'accéder directement à des données sensibles ou privilégiées. Aucun élément ne laisse penser à un déploiement de ransomware, à un chiffrement des données ou à une tentative de…

Analyse - dans les coulisses de la fuite de données chez Endesa Par Lydia Atienza, Principal Threat Intelligence Researcher, Outpost24 - Malwares