Câbles Internet coupés : suspicion d'acte délibéré dans le nord de l'Europe - Actus du 19/11/2024
Découvrez les mystères des câbles Internet coupés en Europe, le nouvel outil Windows 11 pour réparer à distance et les cyberattaques revendiquées sur les hôpitaux en France et au Luxembourg. Plongée au cœur des enjeux numériques actuels!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
« Personne ne croit que ces câbles ont été coupés par accident » : les très suspectes ruptures de câbles Internet dans le nord de l’Europe
Depuis le 18 novembre 2024, les pays nord-européens sont en émoi suite à un incident touchant le câble sous-marin C-Lion1, reliant l'Allemagne à la Finlande. Le ministre allemand de la Défense, Oscar Pistorius, a évoqué des préoccupations concernant une possible implication de la Russie, tandis que Berlin et Helsinki ont exprimé leur inquiétude face à la rupture du câble. Long de 1 172 km, C-Lion1 traverse plusieurs pays, dont la Suède et la Pologne, et a été sectionné dans la zone économique exclusive suédoise, à environ 700 km d'Helsinki. Le gestionnaire finlandais, Cinia Oy, a annoncé que la réparation pourrait prendre entre cinq et quinze jours. Parallèlement, un autre câble entre la Suède et la Lituanie a également été endommagé, suscitant des interrogations sur les raisons de ces incidents. Les responsabilités restent floues, bien que la Russie ait été mentionnée, ainsi que d'autres pays, dans un contexte de tensions croissantes liées à la guerre en Ukraine. Les autorités suédoises ont souligné l'importance de clarifier ces événements, alors que des mesures ont été prises pour rerouter le trafic Internet.
Sources :
Nouvel outil de récupération Windows 11 pour permettre aux administrateurs de réparer à distance les périphériques non amorçables
Microsoft développe une nouvelle fonctionnalité appelée "Quick Machine Recovery" pour Windows 11, permettant aux administrateurs informatiques de réparer à distance des systèmes devenus non démarrables. Cette initiative fait suite à une panne majeure en juillet 2024, causée par une mise à jour défectueuse de CrowdStrike Falcon, qui a rendu des centaines de milliers de dispositifs Windows inopérables, affectant des secteurs critiques comme les compagnies aériennes et les services d'urgence. Grâce à cette nouvelle fonctionnalité, les administrateurs pourront appliquer des correctifs ciblés via Windows Update, même si les machines ne démarrent pas, sans accès physique. David Weston, vice-président de Microsoft, a souligné que cela permettra une résolution plus rapide des problèmes. De plus, Microsoft collabore avec des fournisseurs de sécurité pour développer des outils permettant aux logiciels de sécurité de fonctionner en dehors du noyau Windows, réduisant ainsi les risques de pannes dues à des pilotes défectueux. Cette approche inclut des pratiques de déploiement sécurisé pour minimiser les impacts négatifs. La fonctionnalité Quick Machine Recovery sera disponible pour la communauté Insider de Windows 11 début 2025, tandis qu'une prévisualisation pour les développeurs de produits de sécurité est prévue pour juillet 2025.
Sources :
Cyberattaques sur des établissements de santé en France et au Luxembourg : un hacker revendique des accès exclusif
Un hacker a récemment revendiqué avoir piraté plusieurs établissements de santé en France et au Luxembourg, affirmant avoir un « contrôle exclusif » sur leurs systèmes informatiques. Il prétend pouvoir accéder à des données sensibles de 1,5 million de patients, incluant des informations personnelles, des dossiers médicaux, et la gestion des rendez-vous. Parmi les établissements compromis figurent des cliniques et hôpitaux notables, tels que le Centre Luxembourg et l'Hôpital Privé de Thiais. Le pirate a également annoncé avoir volé 758 912 dossiers d'un hôpital parisien via un logiciel de gestion, MediBoard, qui centralise des données critiques. En plus de revendiquer ces accès, il propose à la vente les données volées, augmentant les risques de dissémination. Ce type d'attaque souligne la vulnérabilité croissante des systèmes de santé, souvent mal protégés contre les cybermenaces. Les données médicales, difficiles à modifier et à long terme, représentent une cible lucrative pour les cybercriminels. Ce n'est pas la première fois que ce hacker est impliqué dans des activités illégales, ayant déjà vendu des informations provenant d'autres systèmes. Les établissements de santé doivent renforcer leur cybersécurité pour se protéger contre de telles menaces.
Sources :
Le botnet Ngioweb alimente le réseau proxy résidentiel NSOCKS en exploitant les appareils IoT
Selon un rapport de Black Lotus Labs, 80 % des bots NSOCKS proviennent du botnet Ngioweb, utilisant principalement des routeurs SOHO et des dispositifs IoT. Deux tiers de ces proxies sont basés aux États-Unis. Le botnet maintient en moyenne 35 000 bots actifs par jour, dont 40 % le restent pendant un mois ou plus. Ngioweb, documenté pour la première fois en 2018, cible des appareils sous Windows et Linux, et son malware est déployé via des scripts automatisés pour infiltrer des dispositifs vulnérables. Les bots infectés sont ensuite vendus sur des marchés de proxies résidentiels, avec un processus de monétisation pouvant prendre seulement 10 minutes. Les chaînes d'attaque exploitent diverses vulnérabilités pour compromettre des appareils domestiques. Les opérateurs ciblent une large gamme de marques, et les systèmes infectés sont utilisés comme serveurs proxy pour NSOCKS, qui a été impliqué dans des attaques de credential stuffing. Les utilisateurs de NSOCKS peuvent choisir des proxies selon divers critères, avec des prix variant de 0,20 à 1,50 $ pour un accès de 24 heures. Ce marché des proxies résidentiels devrait croître, alimenté par la demande des groupes criminels et des menaces persistantes avancées, facilitant des attaques DDoS à grande échelle.
Sources :
Des pirates informatiques détournent des notebooks Jupyter non sécurisés pour diffuser des retransmissions sportives illégales
Des acteurs malveillants exploitent des JupyterLab et Jupyter Notebooks mal configurés pour réaliser du "stream ripping" et faciliter la piraterie sportive via des outils de capture de streaming en direct. Selon un rapport de la société de sécurité cloud Aqua, ces attaques commencent par le détournement de Jupyter Notebooks non authentifiés, permettant un accès initial pour mener des actions visant à diffuser illégalement des événements sportifs. La campagne de piraterie a été découverte après une attaque contre les honeypots d'Aqua. L'attaquant a d'abord mis à jour le serveur, puis téléchargé l'outil FFmpeg, une action qui ne déclenche pas d'alerte de sécurité. Ensuite, FFmpeg a été utilisé pour capturer des flux en direct d'événements sportifs, redirigeant ces flux vers un serveur illégal. L'objectif final est de télécharger FFmpeg depuis MediaFire pour enregistrer les flux de la chaîne beIN Sports au Qatar et les diffuser sur un serveur illégal via ustream[.]tv. Bien que l'origine des attaquants reste incertaine, des indices suggèrent qu'ils pourraient être arabophones. Cette situation pose des risques importants pour les organisations, notamment des attaques par déni de service, le vol de données et des dommages financiers et réputationnels.
Sources :
Microsoft partage plus de détails sur la protection des administrateurs de Windows 11
Microsoft a récemment dévoilé des détails sur la nouvelle fonctionnalité de protection des administrateurs de Windows 11, actuellement en version préliminaire. Introduite pour les utilisateurs de Windows 11 Insiders dans le canal Canary, cette fonctionnalité vise à protéger les droits d'administrateur en permettant aux utilisateurs d'effectuer des fonctions administratives avec des privilèges temporaires. Lorsqu'elle est activée, elle limite les utilisateurs à des permissions standard et exige une authentification via Windows Hello (PIN ou biométrie) pour modifier le registre ou installer des applications. Cette méthode d'authentification est conçue pour être plus difficile à contourner que le contrôle de compte utilisateur (UAC), renforçant ainsi la sécurité contre les malwares et les attaques. David Weston, vice-président de la sécurité des entreprises et des systèmes d'exploitation chez Microsoft, a expliqué que Windows crée un jeton d'administrateur temporaire qui est détruit après utilisation, garantissant que les privilèges d'administrateur ne persistent pas. De plus, Windows Hello protège l'accès aux fichiers personnels grâce à un chiffrement des données. Les administrateurs peuvent également activer des politiques de contrôle des applications pour empêcher l'installation de logiciels malveillants, renforçant ainsi la sécurité globale du système.
Sources :
Microsoft lance un événement de piratage Zero Day Quest avec 4 millions de dollars de récompenses
Microsoft a annoncé aujourd'hui, lors de sa conférence Ignite à Chicago, le lancement de Zero Day Quest, un événement de hacking visant à renforcer la sécurité des produits et plateformes cloud et IA. Cet événement, qui débute le 19 novembre 2024 et se termine le 19 janvier 2025, propose un défi de recherche où les soumissions de vulnérabilités peuvent rapporter des récompenses multipliées et donner accès à un événement de hacking sur invitation à Redmond en 2025. En parallèle, Microsoft offre des primes doublées pour les vulnérabilités liées à l'IA, tout en facilitant l'accès direct aux ingénieurs de l'IA de l'entreprise. Tom Gallagher, VP de l'ingénierie au Microsoft Security Response Center, a déclaré que cet événement serait le plus important de son genre, avec 4 millions de dollars de récompenses potentielles. Cela s'inscrit dans le cadre de l'Initiative pour un Avenir Sûr (SFI), lancée en novembre 2023, visant à améliorer la cybersécurité de ses produits après des critiques sur sa culture de sécurité. Microsoft a également annoncé de nouvelles fonctionnalités de protection pour les administrateurs sur Windows 11, renforçant ainsi son engagement envers la sécurité.
Sources :
Cybersécurité en 2025 : l’émergence des LLM comme nouvelles menaces et la montée des services de vérification d’identité
À la fin de l'année 2024, l'Intelligence Artificielle (IA), en particulier l'IA générative, a pris une place prépondérante, entraînant des défis en cybersécurité. Len Noe, biohacker chez CyberArk, prédit que les modèles de langage (LLM) deviendront une nouvelle menace persistante avancée (APT), exploitée par des États-nations et des acteurs malveillants pour mener des cyberattaques. Les LLM actuels, vulnérables aux manipulations, seront renforcés par des outils comme HackerGPT, permettant de créer des exploits pour de nouvelles vulnérabilités critiques. Cette évolution technologique réduira le délai entre la découverte de vulnérabilités et leur exploitation. Parallèlement, la généralisation des deepfakes incitera l'émergence de startups proposant des services avancés de vérification d'identité. Ces services iront au-delà de l'authentification multifactorielle, intégrant des documents officiels, des données biométriques et des analyses comportementales pour confirmer l'identité des utilisateurs lors de transactions en ligne. À terme, cette vérification s'étendra aux interactions physiques, avec des technologies telles que des puces implantées pour l'authentification lors de transactions en personne. Les entreprises devront donc s'adapter à ces nouvelles réalités pour sécuriser leurs opérations.
Sources :
Cybersécurité offensive : Lupin & Holmes dévoile Depi, un outil de sécurisation des environnements de la Supply Chain logicielle
Lupin & Holmes, une start-up française spécialisée en cybersécurité offensive, a lancé Depi, un outil innovant pour sécuriser la supply chain logicielle. Alors que 89 % des entreprises intègrent du code open source, l'intégrité de cette chaîne est souvent compromise. Depi se distingue en vérifiant non pas le contenu des dépendances, mais la sécurité de leur environnement, notamment les dépôts, garantissant que le code est maintenu par des développeurs de confiance. Roni Carta, hacker français et co-fondateur, a identifié des vulnérabilités dans ces environnements, pouvant entraîner des pertes de 81 milliards de dollars d'ici 2026. En se concentrant sur la sécurité des dépôts et en réduisant la surface d'attaque, Depi vise à minimiser les risques associés à l'intégration de composants tiers. La solution inclut également une fonctionnalité d'identification de code malveillant. Depi est disponible sur invitation, avec trois formules tarifaires adaptées aux besoins des entreprises, allant de 20€ à 17€ par mois et par dépôt, selon la fréquence des scans. Cette approche proactive répond aux défis croissants de la cybersécurité dans un monde numérique en rapide évolution.
Sources :
Comptes privilégiés, menaces cachées : pourquoi la sécurité des accès privilégiés doit être une priorité absolue
Les comptes privilégiés représentent des points d'entrée majeurs pour les menaces de sécurité, mais de nombreuses organisations se concentrent uniquement sur la gestion de l'accès privilégié, négligeant la sécurisation des comptes et des utilisateurs. Cette tendance découle des défis persistants liés à la gestion des accès privilégiés (PAM). L'objectif principal de la PAM est de contrôler et de protéger ces comptes, souvent détenus par des administrateurs, qui ont accès à des systèmes critiques. Une gestion adéquate est essentielle pour prévenir les accès non autorisés et les violations de données. Bien que la PAM ait évolué pour intégrer des outils de sécurité avancés, elle reste limitée face aux menaces modernes telles que le vol d'identifiants et l'escalade de privilèges. Les organisations doivent donc passer d'une gestion de l'accès à une sécurisation des comptes privilégiés, nécessitant une visibilité complète, une surveillance continue et des contrôles d'accès basés sur les risques. Une approche axée sur la sécurité, qui inclut la détection automatisée et des réponses en temps réel, permet de mieux protéger les actifs critiques et de contrer les attaques sophistiquées. En plaçant la sécurité au cœur des stratégies d'accès privilégié, les entreprises peuvent renforcer leurs défenses contre les menaces actuelles.
Sources :
Bitdefender met en garde contre une fausse mise à jour de Bitwarden contenant un malware
Une enquête menée par Bitdefender révèle une campagne de phishing ciblant les utilisateurs européens âgés de 18 à 65 ans, lancée le 3 novembre 2024. Les cybercriminels utilisent de fausses publicités sur Facebook, prétendant que les mots de passe des utilisateurs sont en danger, pour les inciter à installer une extension de navigateur malveillante imitant Bitwarden. Cette extension, une fois installée, accède à des informations personnelles en modifiant les requêtes réseau et en exploitant des autorisations excessives. Les attaquants guident les victimes à travers un processus d'installation complexe, rendant l'escroquerie plus convaincante. Bitdefender Labs a identifié des signatures comportementales pouvant indiquer une compromission, telles que des appels aux API de Facebook. Pour se protéger, les utilisateurs sont conseillés de désactiver le mode développeur de leur navigateur et de signaler les publicités suspectes. Bitdefender propose également Scamio, un outil gratuit permettant de détecter les arnaques en analysant des textes, messages, liens, QR codes ou images. Scamio est accessible via plusieurs plateformes, dont Facebook Messenger et WhatsApp, et vise à aider les internautes à éviter les escroqueries en ligne.
Sources :
Qu’est-ce que la télématique exactement ? La technologie qui révolutionne notre façon de conduire
La télématique révolutionne l'expérience de conduite en combinant télécommunications et informatique pour surveiller en temps réel les données des véhicules et le comportement des conducteurs. Un petit dispositif installé dans le véhicule collecte des informations telles que la vitesse, la localisation et le temps de ralenti, transmettant ces données à un système central. Cela permet d'améliorer la sécurité et l'efficacité sur la route, en offrant des insights précieux pour ajuster les habitudes de conduite et optimiser la planification des itinéraires, ce qui est crucial pour les flottes commerciales. Les gestionnaires de flotte bénéficient également de caméras intégrées, renforçant la responsabilité des conducteurs. Les conducteurs particuliers peuvent profiter de polices d'assurance basées sur leur comportement de conduite, incitant à une conduite plus responsable. De plus, la télématique aide à réduire les émissions en identifiant les inefficacités dans la consommation de carburant. À mesure que la technologie progresse, la télématique continuera d'évoluer, intégrant des infrastructures de villes intelligentes pour réduire la congestion. En adoptant cette technologie, les conducteurs contribuent à un avenir plus connecté, sûr et durable. La télématique représente donc une avancée vers une conduite plus intelligente et respectueuse de l'environnement.
Sources :
Spotify utilisé à mauvais escient pour promouvoir des logiciels piratés et des jeux de triche
Des acteurs malveillants exploitent Spotify pour promouvoir des liens vers des logiciels piratés et d'autres contenus douteux, en utilisant des mots-clés ciblés dans les noms de playlists et les descriptions de podcasts. Ces pratiques augmentent leur visibilité sur les moteurs de recherche comme Google, car les pages de Spotify sont facilement indexées. Les termes comme "warez" et "crack" désignent des logiciels contrefaits, souvent associés à des risques de malware ou à des sites de scams. Des podcasts de courte durée, utilisant une voix synthétisée, dirigent les utilisateurs vers des liens menant à des téléchargements frauduleux ou à des enquêtes trompeuses. En outre, des contenus liés à des cheats de jeux vidéo, comme "Fortnite" et "GTA V", sont également promus via des épisodes de podcasts. Bien que Spotify ait des règles interdisant la publication de contenu malveillant, des services tiers comme Firstory facilitent la distribution de ces contenus indésirables. Firstory reconnaît le problème du spam et travaille avec Spotify pour détecter et supprimer les contenus enfreignant les règles. Cette situation souligne la nécessité d'une vigilance accrue face à l'utilisation abusive des plateformes de streaming pour la diffusion de contenus malveillants.
Sources :
La nouvelle variante du ransomware « Helldown » étend ses attaques aux systèmes VMware et Linux
Des chercheurs en cybersécurité ont mis en lumière une variante Linux d'un ransomware récent nommé Helldown, indiquant une diversification des cibles des cybercriminels. Helldown, dérivé du code LockBit 3.0, a été documenté pour la première fois en août 2024 comme un groupe de ransomware agressif exploitant des vulnérabilités de sécurité. Les secteurs visés incluent les services informatiques, les télécommunications, la fabrication et la santé. Une analyse a révélé que Helldown utilise des pare-feu Zyxel exposés sur Internet pour accéder aux réseaux, voler des identifiants et créer des tunnels VPN SSL. La version Windows du ransomware efface les copies de sauvegarde et termine des processus avant de chiffrer les fichiers, tandis que la version Linux, bien que moins sophistiquée, cherche et crypte les fichiers tout en tuant les machines virtuelles actives. Parallèlement, Cisco Talos a signalé un nouveau ransomware, Interlock, ciblant les secteurs de la santé et de la technologie, utilisant un faux mise à jour de navigateur pour déployer un cheval de Troie d'accès à distance. Un autre acteur, SafePay, a également émergé, ayant ciblé 22 entreprises, avec des activités provenant de passerelles VPN internes.
Sources :
Des pirates informatiques chinois exploitent T-Mobile et d'autres opérateurs télécoms américains dans le cadre d'une vaste campagne d'espionnage
T-Mobile a confirmé avoir été ciblé par des acteurs menaçants chinois, connus sous le nom de Salt Typhoon, dans le cadre d'une campagne de cyberespionnage prolongée visant à collecter des informations sur des cibles d'intelligence de haute valeur. Cette intrusion s'inscrit dans un contexte plus large, où d'autres grandes entreprises de télécommunications américaines, telles qu'AT&T et Verizon, ont également été compromises. Le gouvernement américain a révélé que des acteurs affiliés à la République populaire de Chine avaient accédé à des réseaux de plusieurs entreprises de télécommunications, permettant le vol de données d'appels clients et la compromission de communications privées de personnes impliquées dans des activités gouvernementales. Les chercheurs de Trend Micro ont analysé les techniques utilisées par Salt Typhoon, qui exploitent des vulnérabilités dans des services exposés et des utilitaires de gestion à distance. Parmi les outils employés figurent Cobalt Strike et des backdoors comme HemiGate. Les attaques sont sophistiquées, utilisant des serveurs Exchange vulnérables pour implanter des malwares. L'analyse souligne la capacité d'adaptation de ces acteurs, qui maintiennent un accès persistant à leurs cibles tout en utilisant une stratégie d'attaque multi-couches difficile à détecter.
Sources :
Avertissement : failles de VMware vCenter et Kemp LoadMaster en cours d'exploitation active
Des vulnérabilités de sécurité récemment corrigées affectant Progress Kemp LoadMaster et VMware vCenter Server sont désormais exploitées activement. La CISA (Cybersecurity and Infrastructure Security Agency) a ajouté la vulnérabilité CVE-2024-1212 (score CVSS : 10.0) à son catalogue des vulnérabilités connues exploitées. Cette faille, découverte par Rhino Security Labs, permet à un attaquant distant non authentifié d'exécuter des commandes système via l'interface de gestion de LoadMaster, offrant ainsi un accès complet au répartiteur de charge. Parallèlement, Broadcom a averti que deux vulnérabilités dans VMware vCenter Server, CVE-2024-38812 (score CVSS : 9.8) et CVE-2024-38813 (score CVSS : 7.5), sont également exploitées. La première permet l'exécution de code à distance via un débordement de tas, tandis que la seconde permet une élévation de privilèges. Bien qu'aucun incident concret d'exploitation de ces failles n'ait été signalé, la CISA recommande aux agences fédérales de corriger la vulnérabilité CVE-2024-1212 d'ici le 9 décembre 2024. Cette situation survient peu après que Sophos ait révélé que des cybercriminels exploitent une faille critique dans Veeam Backup & Replication pour déployer un ransomware inédit.
Sources :
Brave sur iOS ajoute un nouveau bouton « Shred » pour effacer les données spécifiques au site
Le navigateur Brave a lancé une nouvelle fonctionnalité appelée "Shred" dans sa version 1.71 pour iOS, visant à améliorer la confidentialité des utilisateurs en permettant la suppression des données de navigation spécifiques à chaque site. Contrairement à d'autres navigateurs, Shred permet de supprimer les données d'un site particulier d'un simple tapotement, évitant ainsi de déconnecter l'utilisateur de tous ses sites préférés. Cette fonctionnalité est accessible manuellement en maintenant enfoncé le bouton des onglets ou via les options de 'Shields'. De plus, Shred peut être configuré pour s'activer automatiquement lorsque l'utilisateur ferme un site ou redémarre le navigateur. Il efface les cookies, le stockage local et les caches liés au réseau. Cependant, l'équipe de Brave a noté que certaines restrictions d'Apple limitent l'efficacité de Shred, entraînant la persistance de certaines données sur les appareils. Brave prévoit d'étendre cette fonctionnalité à Android et aux versions de bureau, où une option similaire, 'Forgetful Browsing', est déjà disponible. Cette mise à jour souligne l'engagement de Brave envers la protection de la vie privée des utilisateurs.
Sources :
Des pirates chinois exploitent la faille zero-day du VPN Fortinet pour voler des identifiants
Des hackers chinois exploitent une vulnérabilité zero-day dans le client VPN FortiClient de Fortinet pour voler des identifiants. Utilisant un outil post-exploitation nommé 'DeepData', ils peuvent extraire les informations d'identification de la mémoire après que l'utilisateur se soit authentifié. Cette faille, découverte par les chercheurs de Volexity en juillet 2024, n'a pas encore été corrigée et aucun numéro CVE ne lui a été attribué. Les attaquants, connus sous le nom de "BrazenBamboo", sont réputés pour leur utilisation de malwares avancés sur divers systèmes d'exploitation. DeepData, un outil modulaire, inclut un plugin spécifique pour FortiClient qui exploite cette vulnérabilité pour récupérer les noms d'utilisateur, mots de passe et informations sur le serveur VPN. La faille résulte d'un défaut dans FortiClient qui ne nettoie pas correctement les informations sensibles de sa mémoire. En compromettant les comptes VPN, les hackers peuvent accéder aux réseaux d'entreprise et étendre leurs campagnes d'espionnage. En attendant un correctif de Fortinet, il est conseillé de restreindre l'accès VPN et de surveiller les activités de connexion inhabituelles. Fortinet n'a pas encore répondu aux demandes concernant cette vulnérabilité.
Sources :
Le géant américain de la technologie spatiale Maxar révèle une violation de données sur ses employés
Maxar Space Systems, un géant américain de la technologie spatiale, a récemment révélé une violation de données ayant touché les informations personnelles de ses employés. Les hackers ont accédé au réseau de l'entreprise environ une semaine avant que la violation ne soit détectée le 11 octobre 2024. Selon la notification de l'incident, l'attaque a été menée par un individu utilisant une adresse IP basée à Hong Kong. Maxar a rapidement pris des mesures pour sécuriser son système après la découverte de l'intrusion. Les données compromises incluent des informations sensibles telles que le nom, l'adresse, le numéro de sécurité sociale, et d'autres détails professionnels des employés. Cependant, aucune information bancaire n'a été exposée. Pour atténuer les conséquences, Maxar propose des services de protection d'identité et de surveillance de crédit aux employés actuels, tandis que les anciens employés ont jusqu'à mi-février 2025 pour s'inscrire à des services de protection contre le vol d'identité. Bien que la notification se concentre sur les données personnelles, il existe des préoccupations concernant la possible exposition de données techniques confidentielles. Maxar Technologies, la société mère, n'a pas encore commenté sur d'éventuelles fuites de données techniques.
Sources :
Palo Alto Networks corrige deux failles zero-day de pare-feu utilisées dans des attaques
Palo Alto Networks a publié des mises à jour de sécurité pour deux vulnérabilités zero-day activement exploitées dans ses pare-feu de nouvelle génération (NGFW). La première, CVE-2024-0012, est une faille de contournement d'authentification dans l'interface web de gestion de PAN-OS, permettant à des attaquants distants d'acquérir des privilèges administratifs sans authentification. La seconde, CVE-2024-9474, concerne une élévation de privilèges qui permet à des administrateurs malveillants de PAN-OS d'agir avec des privilèges root. Bien que Palo Alto Networks ait signalé que ces vulnérabilités n'affectent qu'un "très petit nombre" de pare-feu, la plateforme de surveillance des menaces Shadowserver a identifié plus de 8 700 interfaces de gestion PAN-OS exposées. De plus, des recherches ont révélé plus de 11 000 adresses IP vulnérables. L'agence de cybersécurité américaine CISA a ajouté ces vulnérabilités à son catalogue et a ordonné aux agences fédérales de corriger leurs systèmes d'ici le 9 décembre. CISA a également mis en garde contre des attaques exploitant une autre vulnérabilité critique dans l'outil de migration de configuration de pare-feu Expedition, soulignant les risques importants pour les entreprises fédérales.
Sources :
Les États-Unis accusent l'administrateur du ransomware Phobos après son extradition vers la Corée du Sud
Evgenii Ptitsyn, un ressortissant russe, a été extradé de Corée du Sud vers les États-Unis, où il fait face à des accusations de cybercriminalité en tant qu'administrateur présumé de l'opération de ransomware Phobos. Ce ransomware, dérivé de la famille Crysis, a été largement distribué par des affiliés et a représenté environ 11 % des soumissions au service ID Ransomware entre mai et novembre 2024. Le ministère de la Justice a établi un lien entre le gang Phobos et des violations de plus de 1 000 entités publiques et privées, avec des paiements de rançon dépassant 16 millions de dollars. Selon les documents judiciaires, Ptitsyn et ses complices auraient développé et fourni aux affiliés l'accès aux logiciels malveillants nécessaires pour chiffrer les systèmes des victimes. Ils ont utilisé un site darknet pour coordonner la vente de Phobos et ont contacté les victimes par appels et emails pour extorquer des paiements. Les paiements étaient dirigés vers des portefeuilles de cryptomonnaie spécifiques. Le ministère de la Justice a souligné l'importance de la collaboration internationale pour lutter contre les menaces cybercriminelles majeures.
Sources :
Un bug critique RCE dans VMware vCenter Server est désormais exploité dans des attaques
Broadcom a averti que des attaquants exploitent actuellement deux vulnérabilités dans VMware vCenter Server, dont une faille critique d'exécution de code à distance (RCE) identifiée sous le nom CVE-2024-38812. Cette vulnérabilité, causée par un débordement de tas dans l'implémentation du protocole DCE/RPC de vCenter, affecte des produits tels que VMware vSphere et VMware Cloud Foundation. La seconde faille, CVE-2024-38813, permet une élévation de privilèges vers le niveau root via un paquet réseau spécialement conçu. Bien que Broadcom ait publié des mises à jour de sécurité en septembre pour corriger ces vulnérabilités, un mois plus tard, il a été signalé que le correctif pour CVE-2024-38812 n'avait pas complètement résolu le problème. Broadcom a donc fortement recommandé aux administrateurs d'appliquer les nouveaux correctifs, car aucune solution de contournement n'est disponible. Les acteurs de la menace, y compris des groupes de ransomware et des hackers soutenus par des États, ciblent souvent les vulnérabilités de VMware vCenter. En juin, une vulnérabilité similaire avait déjà été corrigée, soulignant la persistance de ces menaces.
Sources :
De fausses publicités Bitwarden sur Facebook diffusent une extension Chrome qui vole des informations
Des publicités frauduleuses sur Facebook imitant le gestionnaire de mots de passe Bitwarden promeuvent une extension malveillante pour Google Chrome, conçue pour collecter et voler des données sensibles des utilisateurs. Bitwarden, qui a gagné en popularité grâce à sa sécurité et à ses fonctionnalités, est ciblé par une campagne de malvertising détectée par Bitdefender Labs, lancée le 3 novembre 2024. Les annonces alertent les utilisateurs qu'ils utilisent une version obsolète de Bitwarden et les incitent à mettre à jour leur programme via un lien trompeur. Ce lien, prétendant être le Chrome Web Store, redirige vers une page qui ressemble à l'interface officielle, mais demande le téléchargement d'un fichier ZIP depuis Google Drive. Les utilisateurs, peu familiers avec le processus, peuvent installer manuellement l'extension, contournant ainsi les vérifications de sécurité. Une fois installée, l'extension, nommée 'Bitwarden Password Manager' version 0.0.1, collecte des cookies Facebook, des données IP et de localisation, ainsi que des informations de compte via l'API Graph de Facebook. Pour se protéger, les utilisateurs de Bitwarden doivent ignorer ces annonces et installer des extensions uniquement via le site officiel ou le Chrome Web Store.
Sources :
Un nouveau malware furtif BabbleLoader détecté et qui fournit des voleurs de WhiteSnake et de Meduza
Des chercheurs en cybersécurité ont identifié un nouveau chargeur de malware furtif nommé BabbleLoader, qui livre des familles de voleurs d'informations comme WhiteSnake et Meduza. Selon Ryan Robinson d'Intezer, BabbleLoader est un chargeur "extrêmement évasif", conçu pour contourner les antivirus et les environnements de bac à sable afin d'injecter des voleurs en mémoire. Il cible principalement des utilisateurs anglophones et russophones à la recherche de logiciels piratés, ainsi que des professionnels de la finance, en se faisant passer pour des logiciels de comptabilité. Les chargeurs sont devenus une méthode courante pour livrer des malwares, agissant comme première étape d'une chaîne d'attaque. BabbleLoader se distingue par ses techniques d'évasion, incluant du code inutile et des transformations métamorphiques, rendant difficile la détection par les systèmes traditionnels et basés sur l'IA. Chaque version du chargeur présente des caractéristiques uniques, ce qui complique l'apprentissage des modèles d'IA. En parallèle, Rapid7 a signalé une campagne de malware distribuant une nouvelle version de LodaRAT, capable de voler des cookies et mots de passe, et d'autres malwares. Cette situation souligne l'évolution constante des menaces en cybersécurité.
