Cicada3301 : Le nouveau ransomware basé sur Rust attaque Windows et Linux - Actus du 03/09/2024
Des hackers exploitent une faille de WinRAR en Russie et Biélorussie, tandis que le ransomware Cicada3301 attaque Windows et Linux. Les fans de Liverpool et d’Arsenal, premières victimes de pirates dans le championnat anglais.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Des hackers exploitent la vulnérabilité de WinRAR dans des attaques contre la Russie et la Biélorussie
Le groupe de hacktivistes Head Mare est lié à des cyberattaques ciblant exclusivement des organisations en Russie et en Biélorussie, dans le contexte du conflit russo-ukrainien. Actif depuis 2023, Head Mare utilise des méthodes modernes pour accéder aux systèmes, notamment en exploitant la vulnérabilité CVE-2023-38831 dans WinRAR, permettant l'exécution de code arbitraire via des archives malveillantes. Contrairement à d'autres groupes, Head Mare crypte les appareils de ses victimes avec LockBit et Babuk, exigeant une rançon pour la décryption. Le groupe utilise également des outils comme PhantomDL, un backdoor basé sur Go, et PhantomCore, un cheval de Troie d'accès à distance, pour exécuter des commandes et transférer des fichiers. Les attaques sont souvent déguisées sous des tâches liées à Microsoft, et les malwares se présentent comme des applications légitimes. Les campagnes de phishing, utilisant des documents d'affaires avec des extensions doubles, sont une méthode clé de distribution. En plus de ces techniques, Head Mare emploie des outils open-source comme Sliver pour le contrôle à distance et la collecte de données. Bien que ses méthodes soient similaires à celles d'autres groupes, son utilisation de malwares sur mesure et d'exploits récents le distingue.
Sources :
Le nouveau ransomware Cicada3301 basé sur Rust cible les systèmes Windows et Linux
Des chercheurs en cybersécurité ont analysé un nouveau variant de ransomware nommé Cicada3301, qui présente des similitudes avec l'opération BlackCat (ALPHV). Selon Morphisec, Cicada3301 cible principalement les petites et moyennes entreprises (PME) via des attaques opportunistes exploitant des vulnérabilités. Écrit en Rust, il peut cibler des hôtes Windows et Linux/ESXi et a émergé en juin 2024, proposant un service de ransomware à la demande sur le forum RAMP. Ce ransomware intègre les identifiants de l'utilisateur compromis pour exécuter PsExec, un outil légitime permettant d'exécuter des programmes à distance. Cicada3301 utilise également ChaCha20 pour le chiffrement et d'autres techniques similaires à BlackCat, comme la suppression des copies d'ombre et la désactivation de la récupération système. Il cible 35 extensions de fichiers, y compris des formats courants comme .doc et .pdf. Des outils supplémentaires, comme EDRSandBlast, ont été découverts, permettant de contourner les détections EDR. Les attaques contre les systèmes VMware ESXi incluent un chiffrement intermittent. Enfin, un mouvement non politique portant le même nom a déclaré ne pas être lié à ce ransomware.
Sources :
Les fans de Liverpool et d’Arsenal sont les premières victimes de pirates dans le championnat anglais
Un rapport de la banque britannique NatWest, publié le 23 août 2024, révèle que les supporters de Liverpool sont les plus ciblés par les hackers dans le cadre d'escroqueries aux faux billets pour la Premier League. Lors de la saison 2023/2024, ces fans ont perdu plus de 20 000 euros en raison de fraudes. Liverpool, étant l'un des clubs les plus populaires en Europe, attire particulièrement l'attention des pirates, surtout avec des billets atteignant rapidement 100 euros. Les supporters d'Arsenal suivent en seconde position, ayant perdu plus de 14 000 euros, avec un fan ayant perdu plus de 1 000 euros pour un faux ticket d'un match crucial. Stuart Skinner, responsable de la prévention de la fraude chez NatWest, souligne la nécessité d'une vigilance accrue, estimant que la valeur réelle des escroqueries pourrait être bien plus élevée, car beaucoup ne sont pas signalées. Le phénomène n'est pas limité à l'Angleterre, le championnat français étant également touché, notamment avec le PSG, dont l'image est souvent exploitée par les hackers. Des plaintes ont été déposées, comme celle du Stade brestois, face à une augmentation des arnaques avant des matchs importants.
Sources :
Halliburton confirme que des données ont été volées lors d'une récente cyberattaque
Halliburton a confirmé dans un dépôt auprès de la Securities and Exchange Commission (SEC) que des données ont été volées lors d'une cyberattaque attribuée au groupe de ransomware RansomHub. Dans son formulaire 8-K, l'entreprise indique qu'un tiers non autorisé a accédé à ses systèmes et a exfiltré des informations sensibles. Halliburton évalue actuellement l'ampleur de la violation et les notifications nécessaires. Initialement, la société avait signalé l'incident le 22 août, sans fournir de détails sur la nature de l'attaque. Plus tard, il a été révélé que RansomHub était responsable, entraînant des perturbations importantes dans les systèmes informatiques de l'entreprise. Pour contenir l'attaque, Halliburton a dû mettre certains systèmes hors ligne et a engagé Mandiant pour l'enquête et la remédiation. L'incident a causé des limitations d'accès à certaines applications commerciales, suscitant des inquiétudes parmi les entreprises connectées à la plateforme de Halliburton. Bien que l'impact financier soit jugé peu probable, des risques liés à des actions en justice et à des changements de comportement des clients sont envisagés. Halliburton assure qu'il communique avec ses clients et parties prenantes sur la situation.
Sources :
Le cheval de Troie Rocinante se fait passer pour une application bancaire pour voler des données sensibles aux utilisateurs Android brésiliens
Une nouvelle campagne de malware cible les utilisateurs mobiles au Brésil avec un trojan bancaire Android nommé Rocinante. Ce malware, capable de keylogging via le service d'accessibilité, vole des informations personnelles en utilisant des écrans de phishing se faisant passer pour des banques comme Itaú Shop et Santander. Selon ThreatFabric, le code source de Rocinante révèle qu'il est également appelé Pegasus par ses opérateurs, bien que ce nom ne soit pas lié au logiciel espion développé par NSO Group. Rocinante est attribué à un acteur malveillant connu sous le nom de DukeEugene, qui a déjà créé d'autres malwares tels qu'ERMAC et BlackRock. Le malware est principalement diffusé via des sites de phishing incitant les utilisateurs à installer des applications contrefaites, qui demandent des privilèges d'accessibilité pour enregistrer les activités sur l'appareil infecté et intercepter des SMS. Les informations personnelles volées sont envoyées à un bot Telegram, où elles sont publiées pour les criminels. Parallèlement, Symantec a signalé une autre campagne de trojan bancaire ciblant les régions hispanophones, utilisant des fichiers malveillants pour voler des informations bancaires. Une nouvelle "extensionware-as-a-service" a également émergé, ciblant l'Amérique Latine via des extensions de navigateur malveillantes.
Sources :
Le NIST a officiellement finalisé trois normes de cryptographie post-quantique : Et maintenant ?
Après huit ans de développement, le National Institute of Standards and Technology (NIST) a finalisé trois normes de cryptographie post-quantique (PQC) : Crystals-Kyber, Crystals-Dilithium et Sphincs+. Ces algorithmes offrent aux entreprises des outils pour se protéger contre les menaces des ordinateurs quantiques. Keyfactor, une solution de sécurité, propose quatre étapes essentielles pour préparer cette transition.
La première étape consiste à comprendre que la transition vers la PQC est un processus long, estimé entre 8 et 10 ans. Ensuite, il est crucial de créer un inventaire complet des actifs cryptographiques, impliquant divers intervenants et l'utilisation d'outils d'automatisation pour éviter les oublis. La troisième étape implique l'élaboration d'une stratégie de mise en œuvre claire, incluant un budget réaliste, l'identification des outils nécessaires, un calendrier précis et la définition des responsabilités de l'équipe. Enfin, les entreprises doivent tester les algorithmes PQC dans des environnements sécurisés pour évaluer leur crypto-agilité. Ce processus nécessite une approche collaborative, car il n'existe pas de solution unique pour faire face aux défis de la sécurité quantique.
Sources :
Secrets dévoilés : pourquoi votre RSSI devrait s'inquiéter de Slack
Dans un environnement de développement où les équipes utilisent des outils de collaboration comme Slack, Jira et Confluence, la gestion des secrets devient cruciale. Des informations sensibles, telles que des identifiants en texte clair, peuvent être accidentellement partagées, exposant ainsi l'entreprise à des risques majeurs. Les données révélées dans ces plateformes sont souvent plus critiques que celles trouvées dans le code source. Avec plus de 65 000 entreprises utilisant Jira et de nombreuses instances vulnérables de Confluence, le problème est d'une ampleur alarmante. Pour contrer cette menace, il est essentiel d'élargir la détection des secrets au-delà des dépôts de code. Des solutions comme GitGuardian permettent une détection en temps réel et une remédiation rapide, réduisant ainsi la fenêtre d'exposition. Il est recommandé de former continuellement les équipes sur les risques liés au partage d'informations sensibles, d'offrir des alternatives sécurisées pour ces échanges, et de réaliser des audits réguliers des outils de collaboration. En intégrant ces pratiques, les entreprises peuvent renforcer leur posture de sécurité et minimiser les risques liés aux fuites d'informations sensibles dans les outils de collaboration.
Sources :
De nouvelles failles dans les applications Microsoft macOS pourraient permettre aux pirates d'obtenir un accès illimité
Huit vulnérabilités ont été découvertes dans les applications Microsoft pour macOS, permettant à un attaquant d'obtenir des privilèges élevés ou d'accéder à des données sensibles en contournant le modèle de permissions de l'OS, basé sur le cadre TCC (Transparency, Consent, and Control). Selon Cisco Talos, un attaquant pourrait exploiter ces failles pour envoyer des emails, enregistrer des audio, prendre des photos ou vidéos sans que l'utilisateur ne s'en aperçoive. Les applications concernées incluent Outlook, Teams, Word, Excel, PowerPoint et OneNote. Les bibliothèques malveillantes pourraient être injectées dans ces applications, utilisant les permissions accordées par l'utilisateur pour extraire des informations sensibles. Le TCC, développé par Apple, gère l'accès aux données sensibles et maintient un enregistrement chiffré des permissions accordées. Bien que macOS utilise des fonctionnalités de sécurité comme le sandboxing et le runtime renforcé pour contrer les injections de code, un attaquant ayant accès à un hôte compromis pourrait exploiter ces vulnérabilités. Microsoft considère ces problèmes comme "à faible risque" et a commencé à remédier aux failles dans OneNote et Teams, mais la gestion sécurisée des plugins reste complexe.
Sources :
Un ancien ingénieur accusé dans le Missouri d'avoir tenté d'extorquer 750 000 $ en Bitcoin
Un homme de 57 ans, Daniel Rhyne, originaire du Missouri, a été arrêté pour une tentative d'extorsion de données visant son ancien employeur, une entreprise industrielle du New Jersey. Il fait face à plusieurs accusations, dont l'extorsion, la destruction intentionnelle de systèmes informatiques protégés et la fraude par fil. Rhyne aurait envoyé un courriel d'extorsion menaçant de détruire des serveurs et de supprimer des sauvegardes de données si une rançon de 20 bitcoins, équivalente à 750 000 dollars, n'était pas versée. Selon le ministère américain de la Justice, il a accédé illégalement aux systèmes informatiques de l'entreprise en utilisant un compte administrateur, modifiant les mots de passe et programmant des tâches pour perturber le réseau. Les enquêteurs ont retracé ses actions jusqu'à son ordinateur portable fourni par l'entreprise, où il aurait utilisé des outils pour changer les mots de passe et effacer les journaux Windows. Rhyne, qui a comparu pour la première fois le jour de son arrestation, risque jusqu'à 35 ans de prison et une amende de 750 000 dollars pour l'ensemble des charges.
Sources :
Cox Media Group va écouter les appareils des utilisateurs pour cibler les publicités
Un document de présentation divulgué révèle que Cox Media Group (CMG) envisage d'écouter discrètement les communications des utilisateurs via les microphones de leurs appareils pour cibler des publicités. Selon 404 Media, ce projet, qualifié de « listening actif », a suscité des inquiétudes parmi les défenseurs de la vie privée, surtout après que CMG ait vanté cette capacité en 2023, avant de retirer son article et de nier toute violation de la vie privée. Le programme en question enregistre les conversations des utilisateurs pour recueillir des données d'intention en temps réel, utilisant l'intelligence artificielle pour identifier des « acheteurs potentiels » en fonction de mots-clés pertinents pour des annonceurs spécifiques. CMG peut ainsi créer des listes d'audience géo-ciblées dans des zones définies pour diffuser des publicités adaptées. Bien que CMG ait mentionné des partenariats avec des géants technologiques comme Google, Amazon et Meta, ces entreprises ont toutes nié toute collaboration avec CMG concernant ce programme. Google a même précisé qu'il avait mis fin à ses interactions avec CMG en raison de violations de politiques. CMG n'a pas encore clarifié sa position sur ce projet controversé.
Sources :
Les administrateurs du service de contournement du MFA plaident coupables de fraude
Trois hommes, Callum Picari (22 ans), Vijayasidhurshan Vijayanathan (21 ans) et Aza Siddeeque (19 ans), ont plaidé coupables d'avoir dirigé OTP.Agency, une plateforme en ligne facilitant l'obtention de codes d'authentification à usage unique (OTP) pour des criminels au Royaume-Uni. Entre septembre 2019 et mars 2021, ils ont ciblé plus de 12 500 victimes, permettant à des abonnés de vider des comptes bancaires en contournant les protections de sécurité. Picari était le propriétaire et développeur principal, tandis que Siddeeque s'occupait de la promotion et du support technique. OTP.Agency proposait des abonnements hebdomadaires allant de 30 à 380 £ pour accéder à des services comme Apple Pay. Les criminels obtenaient les OTP en passant des appels automatisés déguisés en appels de banques. L'enquête de la National Crime Agency (NCA) a révélé que le trio aurait pu générer jusqu'à 7,9 millions de livres sterling. Ils font face à des accusations de complot en vue de commettre une fraude et de blanchiment d'argent, avec des peines maximales allant jusqu'à 10 et 14 ans de prison respectivement. Le jugement est prévu pour le 2 novembre.
Sources :
Transport for London révèle un « incident de cybersécurité » en cours
Transport for London (TfL) fait face à un incident de cybersécurité en cours, sans impact sur ses services pour le moment. L'agence a rassuré ses clients par email et sur son site, affirmant qu'aucune donnée client n'a été compromise. TfL a signalé l'attaque aux agences gouvernementales compétentes, dont la National Crime Agency et le National Cyber Security Centre, et collabore avec elles pour contenir l'incident. Shashi Verma, le directeur technique de TfL, a déclaré que des mesures immédiates avaient été mises en place pour protéger les systèmes internes. En juillet dernier, TfL avait déjà révélé que le groupe de ransomware Cl0p avait piraté un serveur de transfert de fichiers d'un de ses fournisseurs, entraînant le vol des coordonnées de 13 000 clients, bien que leurs informations bancaires soient restées intactes. TfL, qui gère les transports de surface, souterrains et Crossrail à Londres, dessert plus de 8,4 millions d'habitants. L'agence continue de surveiller la situation et de prendre des mesures pour assurer la sécurité de ses systèmes et des données de ses clients. L'histoire est en développement.
Sources :
Les administrateurs du service de contournement du MFA plaident coupables de fraude
Trois hommes, Callum Picari (22 ans), Vijayasidhurshan Vijayanathan (21 ans) et Aza Siddeeque (19 ans), ont plaidé coupables d'avoir dirigé OTP.Agency, une plateforme en ligne facilitant l'obtention de codes d'authentification à usage unique (OTP) pour des criminels au Royaume-Uni. Entre septembre 2019 et mars 2021, ils ont ciblé plus de 12 500 victimes, permettant ainsi l'accès à leurs comptes bancaires. Picari était le propriétaire et développeur principal, tandis que Siddeeque s'occupait de la promotion et du support technique. OTP.Agency proposait des abonnements hebdomadaires allant de 30 à 380 £ pour contourner les protections de sécurité de plus de 30 services en ligne, y compris Apple Pay. Les criminels utilisaient une technologie de synthèse vocale pour se faire passer pour des banques et obtenir les OTP des victimes. L'enquête de la National Crime Agency (NCA) a révélé que le trio aurait pu générer jusqu'à 7,9 millions de livres sterling. Ils font face à des accusations de complot en vue de commettre une fraude et de blanchiment d'argent, avec des peines maximales allant jusqu'à 14 ans de prison. Le jugement est prévu pour le 2 novembre.
Sources :
Correction d'une faille de sécurité DoS de haute gravité dans le logiciel Cisco NX-OS
Cisco a récemment corrigé une vulnérabilité de déni de service (DoS) de haute gravité affectant le logiciel NX-OS, utilisé sur ses commutateurs Nexus. Identifiée sous le code CVE-2024-20446, cette faille est liée à un problème de traitement des messages DHCPv6 RELAY-REPLY, permettant à un attaquant distant d'envoyer des paquets malveillants et de provoquer un crash du processus dhcp_snoop, entraînant un redémarrage du dispositif et une condition de DoS. Les modèles concernés incluent les commutateurs Nexus 3000, 7000 et 9000 fonctionnant en mode NX-OS, sous certaines conditions : versions 8.2(11), 9.3(9) ou 10.2(1) du logiciel, avec le relais DHCPv6 activé et au moins une adresse IPv6 configurée. Cisco a précisé qu'aucune solution de contournement n'était disponible, mais recommande de désactiver temporairement le relais DHCPv6. Les utilisateurs sont fortement encouragés à mettre à jour leur logiciel vers la dernière version NX-OS pour bénéficier du correctif. Cisco a également fourni une liste des dispositifs non affectés par cette vulnérabilité dans son avis.
Sources :
Le géant pétrolier Halliburton est partiellement hors ligne suite à une cyberattaque
Halliburton, un acteur majeur de l'industrie pétrolière mondiale, a subi une cyberattaque sévère qui a entraîné l'arrêt de certains de ses systèmes. L'incident a été confirmé par l'entreprise après des perturbations opérationnelles, avec des premières informations révélées le 22 août 2024. Halliburton a signalé un problème de sécurité affectant ses réseaux de connectivité globale et son campus à Houston, ce qui a conduit à restreindre l'accès de certains employés aux réseaux internes. Le Département de l'Énergie des États-Unis a également pris connaissance de l'incident, sans pouvoir préciser sa nature, mais a assuré qu'il n'y avait pas d'impact sérieux sur les services énergétiques. Halliburton a déposé un rapport auprès de la SEC, indiquant qu'un tiers non autorisé avait accédé à ses systèmes le 21 août 2024. L'entreprise a activé son plan de réponse à la cybersécurité et a lancé une enquête, tout en informant les agences de la loi. Il a été révélé que l'attaque était liée au ransomware RansomHub, bien que Halliburton n'ait pas officiellement confirmé cette information. Les détails concernant d'éventuels paiements de rançon ou l'exfiltration de données restent flous.
Sources :
Verkada devra payer 2,95 millions de dollars pour des failles de sécurité ayant conduit à des violations
Verkada, un fournisseur de caméras de sécurité, a accepté de payer 2,95 millions de dollars dans le cadre d'un règlement avec la Federal Trade Commission (FTC) pour des violations présumées de la loi CAN-SPAM et des manquements en matière de sécurité. La FTC a révélé que des hackers avaient accédé à des flux vidéo en direct de caméras situées dans des environnements sensibles, tels que des cliniques de santé pour femmes et des hôpitaux psychiatriques, en raison de la négligence de Verkada à mettre en œuvre des mesures de sécurité de base. En outre, la société a été accusée d'avoir trompé ses clients sur la sécurité de ses produits, en faisant des promesses infondées et en soumettant de faux avis. En mars 2021, un groupe de hackers a exploité une vulnérabilité dans le serveur d'assistance de Verkada, accédant à 150 000 flux de caméras et extrayant des données sensibles. En plus du paiement, Verkada doit établir un programme de sécurité complet, effectuer des évaluations régulières et former ses employés. Pendant 20 ans, la société devra signaler tout incident de cybersécurité à la FTC dans les 10 jours suivant la notification à une autre entité gouvernementale.
Sources :
Le géant des services aux entreprises CBIZ révèle une violation des données de ses clients
CBIZ Benefits & Insurance Services a récemment annoncé une violation de données ayant entraîné l'accès non autorisé à des informations clients stockées dans certaines bases de données. Un acteur malveillant a exploité une vulnérabilité sur une de ses pages web, permettant le vol de données entre le 2 et le 21 juin 2024. La société, spécialisée dans les services de conseil en gestion, a découvert l'intrusion le 24 juin grâce à une enquête menée avec des professionnels de la cybersécurité. Environ 36 000 individus ont été touchés, avec des informations compromises telles que noms, coordonnées, numéros de sécurité sociale, dates de naissance/décès, ainsi que des informations sur la santé des retraités et les plans de bien-être. CBIZ, l'une des plus grandes entreprises de services professionnels aux États-Unis, a commencé à notifier les clients concernés le 28 août 2024. Bien qu'aucune preuve de l'utilisation abusive des données volées n'ait été trouvée, la société a recommandé aux clients de s'inscrire à un service de surveillance de crédit et de protection contre le vol d'identité pendant deux ans, ainsi que de considérer des mesures de sécurité supplémentaires sur leurs rapports de crédit.
