Alerte : Plus de 700 000 routeurs DrayTek exposés au piratage via 14 nouvelles vulnérabilités - Actus du 02/10/2024
Découvrez le meilleur gestionnaire de mots de passe en 2024, les détails sur la faille critique de Zimbra RCE exploitée via emails, et l'alerte sur les 700 000 routeurs DrayTek vulnérables au piratage. Protégez-vous dès maintenant!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Quel est le meilleur gestionnaire de mots de passe en 2024 ?
Le mot de passe maître est essentiel et ne doit pas être oublié, car il permet d'accéder à divers outils de gestion de mots de passe. Bien que les navigateurs comme Chrome ou Firefox offrent des gestionnaires intégrés, la tendance est de réutiliser les mêmes mots de passe, ce qui pose des risques. Pour améliorer la sécurité, les passkeys (clés d'accès) émergent comme une alternative, ne nécessitant pas de mémorisation. Plusieurs applications, telles que Keeper et Proton Pass, facilitent la gestion des mots de passe en synchronisant les données via le cloud avec un chiffrement pour protéger les informations. De grandes entreprises comme Google, Microsoft et Amazon adoptent cette technologie. Il est crucial de choisir un mot de passe unique et complexe, car même les systèmes les plus sécurisés peuvent être vulnérables. En cas de pression extrême, comme une menace physique, il est probable que l'on cède. Ainsi, un mot de passe maître robuste est indispensable. Le chiffrement se fait localement, garantissant que même en cas d'intrusion sur les serveurs, les données restent inaccessibles. Les gestionnaires de mots de passe peuvent également générer et modifier automatiquement les mots de passe pour divers services, simplifiant ainsi leur utilisation.
Sources :
Une faille critique de Zimbra RCE exploitée pour accéder à des serveurs à l'aide de courriers électroniques
Une vulnérabilité critique de type exécution de code à distance (RCE) dans les serveurs de messagerie Zimbra, identifiée comme CVE-2024-45519, est actuellement exploitée par des hackers. Cette faille se trouve dans le service postjournal de Zimbra, qui traite les emails entrants via SMTP. Les attaquants envoient des emails spécialement conçus, contenant des commandes dans le champ CC, qui sont exécutées lorsque le service postjournal les traite. HarfangLab a signalé cette exploitation massive, confirmée par Proofpoint, qui a détecté l'activité malveillante le 28 septembre, juste après la publication d'un exploit de preuve de concept. Les emails contiennent des chaînes encodées en base-64, exécutées via le shell 'sh', permettant d'installer un webshell sur le serveur Zimbra. Ce webshell offre un accès complet au serveur compromis, facilitant le vol de données et la propagation dans le réseau interne. Les chercheurs recommandent de mettre à jour vers les versions corrigées de Zimbra et de désactiver le service postjournal si non nécessaire. Zimbra a publié des correctifs dans les versions 9.0.0 Patch 41 et ultérieures, ainsi que dans les versions 10.0.9 et 10.1.1.
Sources :
Alerte : plus de 700 000 routeurs DrayTek exposés au piratage via 14 nouvelles vulnérabilités
Plus d'une douzaine de nouvelles vulnérabilités de sécurité ont été découvertes dans les routeurs résidentiels et d'entreprise fabriqués par DrayTek, pouvant être exploitées pour prendre le contrôle des appareils vulnérables. Selon Forescout Vedere Labs, ces failles permettent aux attaquants d'injecter du code malveillant, compromettant ainsi les dispositifs et servant de porte d'entrée aux réseaux d'entreprise. Parmi les 14 vulnérabilités identifiées, deux sont jugées critiques, neuf élevées et trois moyennes. La plus grave est un débordement de tampon dans la fonction "GetCGI()", avec un score CVSS de 10.0, pouvant entraîner un déni de service ou une exécution de code à distance. D'autres vulnérabilités critiques incluent une injection de commande OS dans le binaire "recvCmd". Forescout a également noté que plus de 704 000 routeurs DrayTek exposent leur interface Web sur Internet, principalement aux États-Unis. DrayTek a publié des correctifs pour toutes les failles identifiées, y compris pour 11 modèles obsolètes. Les agences de cybersécurité de plusieurs pays ont également publié des recommandations pour renforcer la sécurité des infrastructures critiques, soulignant l'importance de la protection des données et de la segmentation des réseaux.
Sources :
DrayTek a corrigé des failles critiques dans plus de 700 000 routeurs exposés
DrayTek a publié des mises à jour de sécurité pour plusieurs modèles de routeurs afin de corriger 14 vulnérabilités, dont une faille d'exécution de code à distance ayant reçu le score CVSS maximal de 10. Ces vulnérabilités, découvertes par Forescout Research – Vedere Labs, touchent environ 785 000 routeurs DrayTek, dont plus de 704 500 ont leur interface web exposée sur Internet. Parmi les failles critiques, on trouve un débordement de tampon dans la fonction "GetCGI()", une injection de commande dans la communication OS, et des problèmes de gestion des identifiants administratifs. Bien qu'aucune exploitation active de ces failles n'ait été signalée, les utilisateurs sont encouragés à appliquer les mises à jour de sécurité. DrayTek a également recommandé de désactiver l'accès à distance si ce n'est pas nécessaire, d'utiliser des listes de contrôle d'accès et l'authentification à deux facteurs, ainsi que de vérifier les paramètres pour détecter d'éventuelles modifications non autorisées. Les utilisateurs peuvent télécharger le dernier firmware sur le portail officiel de DrayTek. La majorité des appareils vulnérables se trouvent aux États-Unis, mais des nombres significatifs sont également présents au Royaume-Uni, au Vietnam, aux Pays-Bas et en Australie.
Sources :
Comment savoir si vos données ont fuité ? 6 outils à connaître absolument
Les fuites de données sont devenues omniprésentes, touchant environ 4 000 entreprises chaque année, principalement ciblées par des pirates cherchant à revendre des informations sensibles sur le darknet. Ces données incluent identifiants, adresses e-mail, mots de passe, numéros de téléphone et parfois des informations bancaires, utilisées pour des arnaques par phishing ou des connexions non autorisées à des comptes. Pour se protéger, il est conseillé de vérifier régulièrement si ses informations ont été compromises en utilisant des outils gratuits. Plusieurs plateformes, comme F-Secure, Have I Been Pwned, Intelx.io, Avast et le Hasso Plattner Institut, permettent de rechercher des fuites en entrant simplement son adresse e-mail. Les résultats peuvent varier, mais certains sites offrent des détails plus complets sur les fuites. En cas de détection, il est recommandé de changer immédiatement son mot de passe en optant pour une combinaison complexe. En outre, il est utile de rechercher son nom sur Google ou d'utiliser Google Lens pour détecter des faux profils sur les réseaux sociaux. La vigilance est essentielle pour protéger ses données personnelles dans un environnement numérique de plus en plus risqué.
Sources :
Microsoft bloque Windows 11 24H2 sur certains PC Intel en raison de problèmes d'écran bleu
Microsoft a décidé de bloquer les mises à jour vers Windows 11 24H2 sur certains PC Intel en raison de problèmes de "blue screen of death" (BSOD) liés à des pilotes audio incompatibles, spécifiquement ceux de la technologie Intel Smart Sound Technology (SST). Cette technologie, intégrée dans les processeurs Intel Core et Atom, gère les interactions audio et vocales. Les pilotes concernés, identifiés sous le nom de fichier 'IntcAudioBus.sys', sont les versions 10.29.0.5152 et 10.30.0.5152. Seules les machines équipées de processeurs Intel de 11e génération et de ces versions de pilotes sont touchées. Microsoft a mis en place un blocage de compatibilité pour éviter que la mise à jour ne soit proposée sur ces systèmes. Les utilisateurs affectés sont conseillés de ne pas tenter de mise à jour manuelle via l'outil de création de médias ou l'assistant d'installation. En revanche, une solution consiste à mettre à jour les pilotes SST vers les versions 10.30.00.5714 ou 10.29.00.5714 et ultérieures. D'autres blocages de compatibilité existent également pour certaines applications et matériels.
Sources :
Alerte : les boutiques Adobe Commerce et Magento sont attaquées par l'exploit CosmicSting
Des chercheurs en cybersécurité ont révélé que 5 % des boutiques Adobe Commerce et Magento ont été piratées en exploitant une vulnérabilité critique nommée CosmicSting, identifiée comme CVE-2024-34102 (score CVSS : 9,8). Cette faille, liée à une mauvaise restriction des références d'entités externes XML (XXE), permet une exécution de code à distance. Découverte par un chercheur connu sous le nom de "spacewasp", elle a été corrigée par Adobe en juin 2024. La société de sécurité néerlandaise Sansec a qualifié CosmicSting de "pire bug" touchant ces plateformes depuis deux ans, signalant des compromissions à un rythme de trois à cinq par heure. La CISA a ajouté cette vulnérabilité au catalogue des vulnérabilités exploitées. Les attaques visent à voler la clé de chiffrement secrète de Magento, permettant l'accès complet à l'API. Les propriétaires de sites doivent non seulement appliquer le correctif, mais aussi faire tourner les clés de chiffrement. En août 2024, des attaques ont combiné CosmicSting avec une autre vulnérabilité, CNEXT, pour obtenir une exécution de code à distance. Plusieurs entreprises, dont Ray Ban et Cisco, ont été touchées, avec au moins sept groupes d'attaquants impliqués. Sansec recommande aux marchands de mettre à jour leurs systèmes et de gérer leurs clés de chiffrement.
Sources :
Microsoft met en garde contre les problèmes de performances de jeu de Windows 11 24H2
Microsoft a annoncé des problèmes de performance liés aux jeux sur Windows 11 version 24H2, entraînant le blocage des mises à jour pour certains systèmes. Les utilisateurs d'Asphalt 8 rencontrent des plantages et des erreurs nécessitant un redémarrage du jeu. De plus, une incompatibilité avec l'application Easy Anti-Cheat, utilisée pour prévenir la tricherie dans les jeux en ligne, a été identifiée, affectant principalement les appareils équipés de processeurs Intel Alder Lake+ et de la plateforme vPro. Dans certains cas, ces appareils peuvent également afficher un écran bleu avec le message d'erreur "MEMORY_MANAGEMENT" lors de l'ouverture ou du jeu. Microsoft recommande de mettre à jour les jeux pour résoudre ces problèmes, à condition que les mises à jour incluent une version compatible d'Easy Anti-Cheat. Pour éviter des complications, deux mesures de protection ont été mises en place pour bloquer les mises à jour vers Windows 11 24H2 sur les systèmes 22H2 et 23H2 concernés. Les utilisateurs sont également conseillés de ne pas tenter de mise à niveau manuelle tant que les problèmes ne sont pas résolus. Microsoft travaille sur un correctif qui sera inclus dans une mise à jour future.
Sources :
5 outils indispensables pour une analyse dynamique efficace des logiciels malveillants
L'article traite de l'utilisation d'un bac à sable de malware, comme ANY.RUN, pour analyser le comportement de programmes malveillants dans un environnement isolé. Cette méthode permet de télécharger des échantillons de fichiers hébergés sur des sites de partage ou dans des archives, facilitant ainsi l'analyse des attaques. En exécutant un fichier malveillant trouvé dans une archive protégée par mot de passe, le bac à sable détecte rapidement l'infection par AsyncRAT, un malware utilisé pour le contrôle à distance des machines victimes. ANY.RUN génère des rapports détaillés sur les indicateurs de compromission (IOC), tels que les hachages de fichiers et les connexions C2, permettant d'améliorer les systèmes de détection. L'article souligne également l'importance de comprendre les tactiques, techniques et procédures (TTP) des malwares, en utilisant le cadre MITRE ATT&CK pour renforcer la sécurité des organisations. En intégrant des règles IDS comme Suricata, ANY.RUN offre des notifications sur les menaces et permet une analyse forensique approfondie. De plus, il aborde les tendances récentes, comme l'utilisation de malwares sans fichier, et la possibilité d'interagir avec les fichiers et systèmes pour explorer les menaces en profondeur.
Sources :
Augmentation des attaques DDoS et hacktivisme menaçant les infrastructures critiques
NETSCOUT SYSTEMS, INC. a publié son rapport DDoS Threat Intelligence Report pour le premier semestre 2024, révélant une augmentation alarmante des attaques DDoS. Les attaques visant la couche applicative ont augmenté de 43 %, tandis que les attaques volumétriques ont crû de 30 %, particulièrement en Europe et au Moyen-Orient. La majorité des attaques (70 %) durent moins de 15 minutes, mais elles sont menées par des hacktivistes ciblant des infrastructures critiques, notamment dans les secteurs bancaire et public. En quatre ans, les agressions dans ces secteurs ont augmenté de 55 %. Richard Hummel, directeur de la Threat Intelligence chez NETSCOUT, souligne que les cybercriminels adoptent des méthodes plus sophistiquées, rendant la détection et la mitigation plus difficiles. Le rapport met en lumière des tendances telles que l'augmentation de 50 % des appareils infectés par des bots, avec des botnets comme Zergeca et DDoSia, qui utilisent des technologies avancées pour coordonner les attaques. De plus, plus de 75 % des nouveaux réseaux sont impliqués dans des activités DDoS peu après leur création. NETSCOUT, grâce à sa plateforme ATLAS, collecte des données sur les attaques DDoS à l'échelle mondiale, fournissant des informations cruciales pour aider les entreprises à se défendre contre ces menaces croissantes.
Sources :
Le groupe de hackers Andariel se concentre désormais sur les attaques financières contre les organisations américaines
En août 2024, trois organisations américaines ont été ciblées par un acteur de menace soutenu par l'État nord-coréen, Andariel, dans le cadre d'une attaque probablement motivée par des raisons financières. Bien que les attaquants n'aient pas réussi à déployer de ransomware, Symantec a noté que les attaques étaient probablement motivées financièrement. Andariel, considéré comme un sous-groupe du célèbre Lazarus Group, est actif depuis 2009 et a un historique de déploiement de ransomware et de développement de portes dérobées personnalisées. En juillet 2024, un membre d'Andariel a été inculpé par le ministère américain de la Justice pour des attaques de ransomware contre des établissements de santé. Les dernières attaques ont impliqué l'utilisation de Dtrack et d'une nouvelle porte dérobée, Nukebot, qui permet d'exécuter des commandes et de télécharger des fichiers. Les méthodes d'accès initial restent floues, mais Andariel exploite souvent des vulnérabilités connues. Malgré un recentrage sur l'espionnage depuis 2019, le groupe semble continuer à mener des attaques d'extorsion. Parallèlement, un autre acteur nord-coréen, Kimsuky, a compromis Diehl Defense en utilisant des techniques de spear-phishing sophistiquées.
Sources :
Des chercheurs mettent en garde contre des attaques en cours exploitant une faille critique de Zimbra Postjournal
Des chercheurs en cybersécurité mettent en garde contre des tentatives d'exploitation d'une vulnérabilité récemment révélée dans Zimbra Collaboration de Synacor. L'entreprise Proofpoint a observé ces activités depuis le 28 septembre 2024, visant la faille CVE-2024-45519 dans le service postjournal de Zimbra, permettant à des attaquants non authentifiés d'exécuter des commandes arbitraires. Les attaques impliquent l'envoi d'e-mails falsifiés, contenant des adresses en champ CC, qui sont ensuite analysées et exécutées comme des commandes. Zimbra a corrigé cette vulnérabilité dans plusieurs versions publiées le 4 septembre 2024. Alan Li, un chercheur en sécurité, a découvert et signalé cette faille. Bien que la fonctionnalité postjournal soit optionnelle, il est crucial d'appliquer le correctif pour éviter toute exploitation. Pour les systèmes où cette fonctionnalité n'est pas activée, il est conseillé de supprimer temporairement le binaire postjournal jusqu'à l'application du correctif. Proofpoint a identifié des adresses CC qui, une fois décodées, tentent d'installer un web shell sur les serveurs Zimbra vulnérables. Les attaques semblent avoir commencé après la publication des détails techniques de la faille, soulignant l'importance d'une mise à jour rapide pour protéger les systèmes.
Sources :
Le référentiel PyPI héberge de faux outils de récupération de portefeuilles cryptographiques qui volent les données des utilisateurs
Une nouvelle série de paquets malveillants a été découverte dans le dépôt Python Package Index (PyPI), se faisant passer pour des services de récupération et de gestion de portefeuilles de cryptomonnaies. Ces paquets, qui ciblaient des utilisateurs de portefeuilles populaires comme Atomic, Trust Wallet et Metamask, avaient pour but de voler des données sensibles et de faciliter le vol d'actifs numériques. Selon le chercheur Yehuda Gelb de Checkmarx, ces paquets promettaient des fonctionnalités utiles pour la récupération de portefeuilles, mais contenaient en réalité des fonctions pour dérober des clés privées et des phrases mnémotechniques. Chaque paquet a attiré des centaines de téléchargements avant d'être retiré. Les attaquants ont utilisé des techniques de dissimulation, comme des statistiques de téléchargement fausses et des dépendances malveillantes, pour renforcer la crédibilité de leurs bibliothèques. De plus, la fonctionnalité malveillante ne s'activait que lors de l'appel de certaines fonctions, rendant la détection plus difficile. Cette attaque souligne l'importance de mesures de sécurité robustes dans les communautés open-source, alors que les campagnes malveillantes ciblant le secteur des cryptomonnaies continuent d'évoluer.
Sources :
Arc Browser lance un programme de primes aux bugs après avoir corrigé un bug RCE
La société Browser Company a lancé un programme de récompense pour les bugs, incitant les chercheurs en sécurité à signaler les vulnérabilités du navigateur Arc, suite à la découverte d'une faille critique de type exécution de code à distance (CVE-2024-45489). Cette vulnérabilité permettait aux attaquants d'exécuter du code malveillant sur le navigateur des utilisateurs en exploitant la fonctionnalité "Boosts", qui permet aux utilisateurs de personnaliser les sites web via JavaScript. Un chercheur a révélé que, simplement en modifiant l'identifiant du créateur d'un Boost, il pouvait faire exécuter du code malveillant dans le navigateur d'autres utilisateurs. La faille a été corrigée rapidement, le 26 août 2024, après que le chercheur a informé l'équipe d'Arc, recevant une récompense de 2 000 dollars. Le programme de récompense couvre Arc sur macOS, Windows et Arc Search sur iOS, avec des paiements variant de 500 à 20 000 dollars selon la gravité des vulnérabilités. En réponse à cette faille, des mesures de sécurité supplémentaires, telles que la désactivation de la synchronisation automatique des Boosts, ont été mises en place, et un audit externe est en cours pour renforcer la sécurité du système.
Sources :
Microsoft corrige le problème d'envoi d'e-mails Outlook pour les utilisateurs disposant de nombreux dossiers
Microsoft a résolu un problème connu affectant les utilisateurs d'Outlook pour Microsoft 365, qui rencontrait des difficultés pour envoyer des e-mails en raison d'un trop grand nombre de dossiers imbriqués. Ce problème, reconnu en décembre, était initialement lié à une limitation antérieure concernant les boîtes aux lettres avec plus de 500 dossiers partagés, une limite supprimée en 2019. Cependant, il affecte également les utilisateurs ayant un nombre similaire de dossiers dans leur boîte de réception principale. Les utilisateurs concernés recevaient un rapport de non-livraison (NDR) avec le code d'erreur 0x80040305. Microsoft a développé une solution qui sera déployée dans plusieurs canaux de version entre octobre et décembre 2024. En attendant, la société propose des solutions temporaires, comme réduire le nombre de dossiers à moins de 500 ou garder tous les dossiers de la boîte aux lettres repliés. Il est également conseillé d'éviter certaines actions en ligne dans Outlook pour éviter des problèmes supplémentaires. Ce mois-ci, Microsoft a également corrigé un bug provoquant des plantages dans d'autres applications de Microsoft 365.
Sources :
Des données de surveillance de Rackspace volées lors d'une attaque zero-day de ScienceLogic
Rackspace, un fournisseur de services cloud, a subi une violation de données suite à l'exploitation d'une vulnérabilité zero-day dans un outil tiers utilisé par la plateforme ScienceLogic SL1. Cette faille a permis à des acteurs malveillants d'accéder à des données de surveillance client "limitées". ScienceLogic a rapidement développé un correctif pour remédier à la situation et l'a distribué à tous les clients concernés. Jessica Lindberg, vice-présidente de ScienceLogic, a expliqué que la vulnérabilité concernait un utilitaire tiers non lié à ScienceLogic, et a choisi de ne pas le nommer pour éviter d'autres exploitations. L'incident a été signalé par un utilisateur sur X, qui a lié une panne de Rackspace au 24 septembre à cette exploitation active. Bien que Rackspace ait désactivé les graphiques de surveillance sur son portail MyRack pour appliquer une mise à jour, la situation était plus grave que ce qu'indiquait leur mise à jour de statut. Malgré le vol de données, Rackspace a assuré qu'aucune configuration client ou données hébergées n'avaient été compromises. En réponse, l'entreprise a changé les identifiants d'accès par précaution, tout en informant les clients qu'aucune action supplémentaire n'était nécessaire.
Sources :
Une attaque de ransomware oblige le système de santé UMC à détourner certains patients
Le système de santé UMC au Texas a été contraint de rediriger certains patients vers d'autres établissements en raison d'une attaque par ransomware qui a perturbé ses opérations. Dans une annonce publiée sur son site, actuellement hors ligne, UMC a indiqué qu'il faisait face à une panne informatique affectant son réseau. Bien que les installations restent ouvertes, tous les cas d'urgence et non urgents sont redirigés. L'origine de cette panne est attribuée à l'attaque par ransomware, mais aucun groupe de ransomware n'a encore revendiqué la responsabilité. UMC, qui gère 30 cliniques et accueille 400 000 patients par an, est le seul « Centre de Traumatologie de Niveau 1 » dans un rayon de 400 miles, jouant un rôle crucial pour les soins chirurgicaux urgents. Certaines unités sont fermées ou fonctionnent avec des retards importants, notamment en radiologie. Les listes de prescriptions médicales ne sont pas disponibles, et les patients doivent apporter leurs documents. Les dossiers médicaux sont accessibles en ligne, mais ne peuvent pas être imprimés. La communication par téléphone ou en ligne est incertaine, et les patients sont invités à se rendre directement dans une clinique pour toute assistance immédiate. L'enquête sur cet incident de sécurité est en cours.
Sources :
Un voleur de Rhadamanthys alimenté par l'IA cible les portefeuilles de crypto-monnaies grâce à la reconnaissance d'images
Les acteurs malveillants derrière le voleur d'informations Rhadamanthys ont intégré de nouvelles fonctionnalités avancées, notamment l'utilisation de l'intelligence artificielle (IA) pour la reconnaissance optique de caractères (OCR) dans ce qu'ils appellent la "Reconnaissance d'Images de Phrases Seed". Ce malware, découvert en septembre 2022, est devenu l'un des voleurs d'informations les plus puissants, commercialisé sous le modèle de malware-as-a-service (MaaS). Malgré des interdictions sur des forums clandestins, son développeur, connu sous le nom de "kingcrete", continue de le promouvoir via Telegram et d'autres plateformes. Rhadamanthys est proposé sur abonnement, permettant aux clients de collecter des informations sensibles, y compris des mots de passe et des données de portefeuilles de cryptomonnaies. Les mises à jour récentes ont amélioré la stabilité du programme et ajouté des algorithmes de déchiffrement de portefeuilles. Parallèlement, d'autres malwares comme Lumma et WhiteSnake évoluent également, contournant les nouvelles mesures de sécurité des navigateurs. Des campagnes de phishing ciblent les utilisateurs de services de streaming, les incitant à exécuter des commandes PowerShell malveillantes. Ces menaces, orchestrées par le groupe cybercriminel Marko Polo, visent principalement les joueurs et les influenceurs en cryptomonnaies, compromettant potentiellement des dizaines de milliers d'appareils à l'échelle mondiale.
Sources :
Evil Corp frappé de nouvelles sanctions et d'accusations liées au ransomware BitPaymer
En 2019, les États-Unis ont sanctionné dix-sept individus et sept entités liés au groupe criminel Evil Corp, dirigé par Maksim Yakubets. Récemment, le Bureau de contrôle des avoirs étrangers (OFAC) a ajouté sept individus et deux entités à cette liste. Parmi les sanctionnés figurent Eduard Benderskiy, beau-père de Yakubets et ancien officier du FSB, ainsi que d'autres membres de la famille et associés. Le département du Trésor américain a affirmé que Benderskiy avait facilité les relations d'Evil Corp avec les services de renseignement russes, qui avaient auparavant chargé le groupe de mener des cyberattaques contre des alliés de l'OTAN. Les sanctions entraînent le gel des avoirs des individus et interdisent aux entreprises américaines, britanniques et australiennes de traiter avec eux. De plus, les organisations victimes de rançongiciels d'Evil Corp ne peuvent plus payer de rançons sans l'approbation de l'OFAC. Une inculpation a également été dévoilée contre Aleksandr Ryzhenkov, membre présumé d'Evil Corp, pour des attaques de rançongiciels utilisant BitPaymer. Ryzhenkov est également lié à LockBit, un autre groupe de rançongiciels. Evil Corp a évolué en créant de nouvelles variantes de rançongiciels pour échapper aux sanctions.
Sources :
La police arrête quatre suspects liés au gang de ransomware LockBit
Le 1er octobre 2024, des autorités judiciaires de 12 pays ont arrêté quatre suspects liés au gang de ransomware LockBit, dont un développeur et un administrateur de service d'hébergement "bulletproof". Cette opération, menée par la National Crime Agency (NCA) du Royaume-Uni dans le cadre d'Operation Cronos, a permis de saisir des serveurs d'infrastructure de LockBit. L'enquête, débutée en avril 2022, a déjà conduit à l'arrestation d'un développeur présumé en août 2024, ainsi que de deux autres individus soupçonnés d'activités liées à LockBit et de blanchiment d'argent. En parallèle, la Guardia Civil espagnole a arrêté l'administrateur d'un service d'hébergement utilisé par LockBit à l'aéroport de Madrid. Les États-Unis, le Royaume-Uni et l'Australie ont également imposé des sanctions contre des individus liés à LockBit et à Evil Corp. LockBit, actif depuis septembre 2019, a été responsable d'attaques contre de grandes entreprises, ayant extorqué jusqu'à 1 milliard de dollars lors de plus de 7 000 attaques entre juin 2022 et février 2024. L'infrastructure de LockBit a été largement perturbée en février 2024, entraînant la saisie de 34 serveurs et la création d'un déchiffreur gratuit.
Sources :
La police dévoile l’identité d’un pirate russe de Lockbit, le gang qui attaque les hôpitaux en France
La chasse aux membres du gang de hackers Lockbit se poursuit, avec la révélation par la police britannique, le 1er octobre 2024, de l'identité d'Aleksandr Ryzhenkov, alias « Beverley ». Ce hacker est un cadre du groupe russe Evil Corp, connu pour ses cyberattaques utilisant le logiciel Lockbit. Ce dernier loue son malware à des cybercriminels, qui mènent des attaques en échange d'une part des rançons. Ryzhenkov aurait orchestré plus de 60 cyberattaques en deux ans, générant près de 100 millions de dollars de rançons. Lockbit est responsable d'attaques notables, notamment contre des hôpitaux et des entreprises en France. Parallèlement, Europol a annoncé l'arrestation d'un développeur lié à Lockbit, à la demande des autorités françaises, tandis que le Royaume-Uni et l'Espagne ont arrêté trois autres membres du gang. Ryzhenkov est un proche de Maksim Yakubets, le leader d'Evil Corp, dont l'identité avait été révélée par les autorités américaines. Le beau-père de Yakubets, cadre du FSB, aurait protégé le groupe, facilitant leur évasion des poursuites. Les activités d'Evil Corp ont diminué suite à ces révélations, poussant Ryzhenkov à se tourner vers Lockbit.
