Attention à ce faux SMS de BNP Paribas, c’est une arnaque - Actus du 14/09/2024
Découvrez comment un faux SMS de BNP Paribas, une vulnérabilité critique d'Ivanti et une attaque ransomware Rhysida sur le port de Seattle menacent votre sécurité. Ne manquez pas notre article pour rester informé et protégé!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Attention à ce faux SMS de BNP Paribas, c’est une arnaque
Une campagne de phishing vise les clients de BNP Paribas, alertant les destinataires par SMS qu'ils doivent activer une nouvelle clé digitale sous 24 heures. Le message contient un lien vers un site frauduleux, « notif-bnp[.]com », qui imite l'apparence de la banque. Ce site demande aux utilisateurs de fournir leur numéro client et leur code d'accès. Une fois ces informations soumises, les victimes sont redirigées vers le véritable site de BNP Paribas, renforçant l'illusion d'une notification authentique. Bien que Google ait suspendu le site trompeur, il est probable que les hackers aient déjà créé d'autres clones. Des incidents similaires ont été rapportés concernant la Société Générale. Pour se protéger, il est conseillé de ne pas cliquer sur des liens dans des SMS ou des emails suspects et de vérifier directement via l'application de la banque ou en contactant un conseiller. Si des informations ont été divulguées, il est crucial d'alerter la banque et de modifier rapidement ses données bancaires. Les utilisateurs peuvent également signaler le site frauduleux à des plateformes comme Signal-spam.fr ou Phishing-initiative.fr pour aider à sa fermeture.
Sources :
Ivanti met en garde contre l'exploitation active d'une vulnérabilité récemment corrigée de l'appliance Cloud
Ivanti a annoncé qu'une vulnérabilité récemment corrigée dans son Cloud Service Appliance (CSA) est activement exploitée. La faille, identifiée comme CVE-2024-8190 (score CVSS : 7.2), permet l'exécution de code à distance si certaines conditions sont remplies. Selon Ivanti, cette vulnérabilité d'injection de commandes OS concerne les versions 4.6 Patch 518 et antérieures, et nécessite des privilèges d'administrateur pour être exploitée. Étant donné que la version 4.6 a atteint son statut de fin de vie, les clients doivent passer à une version prise en charge, CSA 5.0, qui ne présente pas cette vulnérabilité. Ivanti a précisé que le Patch 519 est la dernière correction pour la version 4.6. L'entreprise a également signalé une exploitation confirmée de cette faille ciblant un nombre limité de clients, sans fournir de détails supplémentaires sur les attaques ou les acteurs malveillants impliqués. Cette situation a conduit la CISA à ajouter cette vulnérabilité à son catalogue des vulnérabilités exploitées, exigeant des agences fédérales qu'elles appliquent les correctifs d'ici le 4 octobre 2024. Parallèlement, Horizon3.ai a publié une analyse technique d'une autre vulnérabilité critique affectant Endpoint Manager.
Sources :
Le port de Seattle touché par le ransomware Rhysida lors d'une attaque en août
Le Port de Seattle a confirmé le 13 septembre 2024 que l'attaque cybernétique subie en août était attribuée au groupe de ransomware Rhysida. L'incident, révélé le 24 août, a conduit à l'isolement de systèmes critiques pour contenir les dégâts, entraînant des perturbations dans les systèmes de réservation et des retards de vols à l'aéroport international de Seattle-Tacoma. L'enquête a montré que les attaquants avaient accédé à certaines parties des systèmes informatiques du Port, encryptant des données. Bien que la plupart des systèmes affectés aient été remis en ligne rapidement, d'autres services clés, comme le site web du Port et l'application flySEA, sont encore en cours de restauration. Le Port a décidé de ne pas céder aux demandes de rançon des cybercriminels, affirmant que cela ne refléterait pas ses valeurs ni son engagement envers les contribuables. Rhysida, un groupe de ransomware émergent, a été impliqué dans plusieurs attaques notables, y compris contre des organisations de santé et des entreprises comme Insomniac Games. Les autorités américaines, dont le HHS, ont mis en garde contre les activités opportunistes de ce groupe dans divers secteurs.
Sources :
TfL exige la réinitialisation des mots de passe en personne pour 30 000 employés après un piratage
Transport for London (TfL) a annoncé que tous ses employés, soit environ 30 000 personnes, doivent se rendre en personne pour vérifier leur identité et réinitialiser leurs mots de passe suite à une cyberattaque survenue début septembre. Bien que l'incident n'ait pas compromis les services de transport, il a perturbé les systèmes internes et les services en ligne, affectant la capacité de TfL à traiter les remboursements. Le 2 septembre, TfL a informé le public de la violation de sécurité, assurant qu'aucune donnée sensible n'avait été compromise, bien que des informations sur les clients, telles que noms et adresses, aient été exposées. Un adolescent de 17 ans a été arrêté par la National Crime Agency du Royaume-Uni, soupçonné d'être lié à cette attaque. TfL a mis en place un processus de réinitialisation des mots de passe similaire à celui utilisé par DICK'S Sporting Goods après une cyberattaque en août. L'agence a également connu une autre violation de données en mai 2023, lorsque des informations de 13 000 clients ont été volées par le gang de ransomware Clop. TfL continue de rassurer ses clients sur la sécurité de son réseau et les mesures prises pour protéger leurs données.
Sources :
Le secteur de la santé au top 3 des secteurs les plus souvent ciblés par les cyberattaques
Les cyberattaques ciblant le secteur de la santé, notamment les ransomwares, sont en forte augmentation, comme l'indique la Journée mondiale de la sécurité des patients instaurée par l'OMS. En Europe, bien que le nombre d'attaques hebdomadaires soit inférieur à la moyenne mondiale, une hausse de 56 % a été observée, révélant une vulnérabilité accrue des systèmes de santé face à la dépendance numérique sans investissements adéquats en cybersécurité. La région APAC est particulièrement touchée, avec 4 556 attaques hebdomadaires par entreprise, soit une augmentation de 54 %. Les hôpitaux, souvent incapables d'interrompre leurs services, deviennent des cibles privilégiées pour les cybercriminels, qui exploitent le chaos et la reprise insuffisante après des attaques. Des groupes comme ALPHV/BlackCat incitent à cibler spécifiquement ces établissements. Pour contrer ces menaces, des recommandations incluent l'utilisation de solutions anti-ransomware, la segmentation des réseaux, la mise à jour régulière des systèmes et la sécurisation de tous les dispositifs connectés. Ces mesures visent à limiter l'accès aux données sensibles et à prévenir la propagation des attaques, tout en renforçant la protection globale des infrastructures de santé.
Sources :
23andMe devra payer 30 millions de dollars pour violation de données génétiques
23andMe, le géant des tests ADN, a accepté de verser 30 millions de dollars pour régler un recours collectif lié à une violation de données ayant exposé les informations personnelles de 6,4 millions de clients en 2023. Le règlement, proposé devant un tribunal fédéral de San Francisco, inclut des paiements en espèces pour les clients affectés, qui seront distribués dans les dix jours suivant l'approbation finale. Bien que 23andMe considère le règlement comme juste et raisonnable, la société nie toute faute et affirme avoir pris des mesures pour renforcer sa sécurité, notamment en introduisant l'authentification à deux facteurs et en effectuant des audits de cybersécurité annuels. La violation a été causée par une attaque par "credential stuffing", où des comptes compromis ont été utilisés pour accéder aux profils des clients. En octobre 2023, 23andMe a révélé que des données de 6,9 millions de clients avaient été téléchargées, y compris des rapports de santé. Cette situation a entraîné plusieurs poursuites en justice et des modifications des conditions d'utilisation, critiquées par les clients. Le règlement est en attente d'approbation judiciaire.
Sources :
Ivanti prévient qu'une faille CSA de haute gravité est désormais exploitée dans des attaques
Ivanti a confirmé qu'une vulnérabilité de haute sévérité dans son Cloud Services Appliance (CSA) est actuellement exploitée dans des attaques. Bien qu'aucun client n'ait été signalé comme victime au moment de la divulgation le 10 septembre, des cas d'exploitation ont été confirmés depuis. La faille (CVE-2024-8190) permet à des attaquants authentifiés disposant de privilèges administratifs d'exécuter du code à distance via une injection de commandes sur les appareils vulnérables fonctionnant sous Ivanti CSA 4.6. Ivanti recommande aux administrateurs de vérifier les paramètres de configuration et les privilèges d'accès des utilisateurs administratifs pour détecter d'éventuelles tentatives d'exploitation. Les configurations CSA à double interface avec ETH-0 comme réseau interne sont moins exposées. Les clients sont encouragés à passer à CSA 5.0, car la version 4.6.x a atteint son statut de fin de vie. De plus, la CISA a ajouté cette vulnérabilité à son catalogue des vulnérabilités connues, ordonnant aux agences fédérales de sécuriser leurs appareils d'ici le 4 octobre. Ivanti a également corrigé d'autres failles critiques dans ses logiciels récemment, renforçant ses capacités de détection et de divulgation des vulnérabilités.
Sources :
Le nouveau malware Hadooken pour Linux cible les serveurs Oracle WebLogic
Des hackers ciblent les serveurs Oracle WebLogic avec un nouveau malware Linux nommé "Hadooken", qui lance un cryptomineur et un outil pour des attaques par déni de service distribué (DDoS). Les chercheurs d'Aqua Security ont observé une attaque sur un honeypot, exploitant des identifiants faibles. WebLogic, utilisé dans des secteurs critiques comme la finance et les télécommunications, est prisé par les attaquants en raison de ses ressources de traitement élevées. Une fois l'accès obtenu, les attaquants téléchargent un script shell et un script Python qui déploient Hadooken, tout en cherchant des données SSH pour attaquer d'autres serveurs. Hadooken installe également le malware Tsunami, un botnet DDoS, et crée des tâches cron pour masquer ses activités. Les chercheurs notent que Hadooken renomme les services malveillants pour se fondre dans les processus légitimes et efface les journaux système pour dissimuler ses traces. Bien que des liens avec des familles de ransomware aient été découverts, aucune attaque de ransomware n'a été observée jusqu'à présent. Les chercheurs estiment que l'accès aux serveurs pourrait potentiellement être utilisé pour déployer des ransomwares à l'avenir. Plus de 230 000 serveurs WebLogic sont exposés sur le web public.
Sources :
RansomHub revendique la cyberattaque de Kawasaki et menace de divulguer les données volées
Kawasaki Motors Europe a récemment annoncé qu'elle se remettait d'une cyberattaque ciblant son siège européen, attribuée au groupe de ransomware RansomHub. Bien que l'attaque n'ait pas réussi à compromettre les serveurs de l'entreprise, elle a entraîné des perturbations de service. En réponse, Kawasaki a isolé ses serveurs et a mis en place un processus de nettoyage pour éliminer tout matériel malveillant potentiel. La société, qui gère la distribution et la vente de motos en Europe, a collaboré avec des experts en cybersécurité pour vérifier chaque serveur avant de les reconnecter au réseau. RansomHub a revendiqué le vol de 487 Go de données et a menacé de publier ces informations si ses exigences ne sont pas satisfaites d'ici demain. Bien que l'on ignore si des données clients sont concernées, la situation reste préoccupante. RansomHub, qui a connu une augmentation des attaques depuis la fermeture d'une autre opération de ransomware, a déjà ciblé de nombreuses entreprises, y compris des secteurs critiques aux États-Unis. Kawasaki n'a pas répondu aux demandes de commentaires concernant cette attaque. La société prévoit de restaurer 90 % de son infrastructure serveur d'ici le début de la semaine prochaine.
