Columbus victime : données de 500 000 personnes volées lors d'une attaque ransomware - Actus du 04/11/2024
Découvrez comment des machines virtuelles Linux infectent Windows avec des portes dérobées, explorez des solutions pour sécuriser vos mots de passe, et apprenez comment la ville de Columbus a subi le vol des données de 500 000 personnes lors d'une attaque de ransomware en juillet.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Windows infecté par des machines virtuelles Linux avec porte dérobée dans de nouvelles attaques de phishing
Une nouvelle campagne de phishing, nommée 'CRON#TRAP', cible les systèmes Windows en installant des machines virtuelles Linux contenant un backdoor, permettant un accès furtif aux réseaux d'entreprise. Les chercheurs de Securonix ont découvert que cette campagne utilise des emails frauduleux prétendant être une "enquête OneAmerica", incluant une archive ZIP de 285 Mo. Cette archive contient un raccourci Windows et un dossier "data" avec l'application QEMU, dont l'exécutable est déguisé en fontdiag.exe. Lors du lancement du raccourci, une commande PowerShell extrait l'archive et installe la machine virtuelle Linux, tout en affichant une image d'erreur pour masquer l'activité malveillante. La VM, nommée 'PivotBox', est équipée d'un backdoor utilisant Chisel pour établir des communications sécurisées avec un serveur de commande et contrôle (C2). Ce mécanisme permet aux attaquants d'exécuter des commandes variées, y compris la surveillance et l'exfiltration de données. Pour se défendre contre ces abus, il est conseillé de surveiller les processus liés à QEMU, de les bloquer et de désactiver la virtualisation sur les appareils critiques.
Sources :
Résoudre le douloureux problème des mots de passe grâce à de meilleures politiques
L'article aborde le problème persistant des mots de passe, qui sont souvent faibles, réutilisés et faciles à compromettre, malgré leur utilisation pour 88 % des services en ligne. Il souligne que la plupart des utilisateurs choisissent des mots de passe à partir d'un ensemble limité de caractères, ce qui facilite le piratage. Pour renforcer la sécurité, il est recommandé d'élaborer une politique de sécurité des mots de passe axée sur le risque, en utilisant des outils comme des tableurs spécialisés pour analyser l'efficacité des politiques en place. Bien que l'idée d'une société sans mots de passe soit en vogue, ces derniers demeurent essentiels. Des solutions comme Specops Password Policy permettent de créer des règles personnalisées et de garantir la conformité aux réglementations. L'authentification multi-facteurs (MFA) est également mise en avant comme un moyen efficace de protéger les comptes, car 99 % des comptes compromis n'utilisaient pas la MFA. Enfin, l'article insiste sur l'importance de former et d'impliquer les employés dans la cybersécurité, en organisant des formations régulières et en cultivant une culture de sécurité au sein de l'organisation.
Sources :
Ville de Columbus : les données de 500 000 personnes volées lors d'une attaque de ransomware en juillet
En juillet 2024, la ville de Columbus, Ohio, a subi une cyberattaque par ransomware, entraînant le vol des informations personnelles et financières de 500 000 individus. L'attaque, revendiquée par le groupe Rhysida, a eu lieu le 18 juillet et a perturbé divers services publics. Bien que les responsables de la ville aient initialement déclaré qu'aucun système n'avait été crypté, ils ont ensuite confirmé que des données sensibles avaient été compromises. Le groupe a publié 45 % des données volées, soit 260 000 documents, sur un portail du dark web. Le maire Andrew Ginther a minimisé les inquiétudes du public, affirmant que les données étaient "cryptées ou corrompues", mais un chercheur en sécurité a contesté cette affirmation en montrant que des informations non cryptées étaient accessibles. En réponse, la ville a intenté une action en justice contre le chercheur pour diffusion illégale de données volées. Malgré l'absence de preuves d'utilisation abusive des données, la ville a averti les personnes concernées de surveiller leurs comptes et a offert 24 mois de services de surveillance de crédit gratuits. Les lettres de notification ont révélé que des informations telles que noms, adresses et numéros de sécurité sociale avaient été compromises.
Sources :
Des failles critiques dans le framework d'IA Ollama pourraient permettre des attaques par déni de service, des vols de modèles et des empoisonnements
Des chercheurs en cybersécurité ont révélé six vulnérabilités dans le cadre d'intelligence artificielle Ollama, pouvant être exploitées par des acteurs malveillants pour réaliser des actions variées telles que des attaques par déni de service (DoS), le vol de modèles et l'empoisonnement de modèles. Ollama, une application open-source permettant de déployer des modèles de langage sur des appareils Windows, Linux et macOS, a été forkée 7 600 fois sur GitHub. Parmi les vulnérabilités, certaines ont été corrigées dans des versions récentes, tandis que deux restent non patchées, permettant potentiellement l'empoisonnement et le vol de modèles via des points d'accès non sécurisés. Les chercheurs recommandent aux utilisateurs de filtrer les points d'accès exposés à Internet à l'aide d'un proxy ou d'un pare-feu d'application web, car de nombreux déploiements d'Ollama sont vulnérables. Oligo a identifié 9 831 instances d'Ollama accessibles sur Internet, dont une sur quatre présente des failles. Cette découverte survient après qu'une autre vulnérabilité critique ait été signalée, soulignant les risques associés à l'exposition d'Ollama sur Internet sans autorisation.
Sources :
Commentaires d’Elastic sur le rapport 2024 ISC2 Cybersecurity Workforce Study
L'étude 2024 ISC2 sur la main-d'œuvre en cybersécurité révèle des préoccupations majeures concernant le manque de personnel et de compétences adéquates dans ce domaine. Les répondants soulignent l'importance croissante de l'équilibre entre vie professionnelle et vie privée, ainsi que la nécessité de compétences transférables, notamment en résolution de problèmes. Bien que l'IA générative soit perçue comme une solution potentielle à la pénurie de talents, son déploiement a entraîné une surcharge de travail et des problèmes de sécurité des données pour plus de la moitié des professionnels interrogés. En conséquence, 65 % estiment que des réglementations supplémentaires sur l'utilisation de l'IA sont nécessaires. Suzanne Button et Mandy Andress d'Elastic soulignent que la sophistication des cybermenaces dépasse l'offre de professionnels qualifiés, exacerbant le turnover et l'épuisement. Elles appellent à des stratégies innovantes pour le recrutement et la fidélisation des équipes de sécurité, ainsi qu'à une sensibilisation collective aux enjeux de cybersécurité au sein des organisations. Investir dans la formation et l'éducation est crucial pour préparer les employés aux défis futurs, tout en utilisant l'IA pour alléger les tâches routinières et permettre un meilleur développement des compétences.
Sources :
Microsoft confirme l'écran bleu de Windows Server 2025 et les problèmes d'installation
Microsoft a confirmé des bugs affectant Windows Server 2025, notamment des problèmes d'installation et des écrans bleus de la mort (BSOD) sur les systèmes disposant de plus de 256 processeurs logiques. Les utilisateurs peuvent rencontrer des échecs ou des blocages lors de l'installation ou de la mise à niveau, ainsi que des redémarrages de serveur pouvant durer jusqu'à trois heures. Les écrans bleus peuvent apparaître lors du lancement ou de l'exécution d'applications sur ces serveurs. Ces problèmes ne se manifestent pas systématiquement sur tous les appareils concernés. Pour vérifier si votre système est affecté, ouvrez le Gestionnaire des tâches avec le raccourci CTRL+SHIFT+ESC et vérifiez le nombre de processeurs logiques dans l'onglet Performance. Microsoft travaille sur un correctif qui sera inclus dans une prochaine mise à jour mensuelle. En attendant, il est conseillé aux administrateurs de limiter le nombre de processeurs logiques à 256 ou moins. Des instructions sont fournies pour ajuster ce paramètre dans le BIOS. De plus, certains utilisateurs pourraient voir du texte en anglais lors de l'installation avec certains médias, indépendamment de la langue sélectionnée. Windows Server 2025 est désormais disponible avec un essai gratuit de 180 jours.
Sources :
La police allemande perturbe la plateforme de DDoS-for-Hire dstat[.]cc ; suspects arrêtés
Les autorités judiciaires allemandes ont annoncé la fermeture d'un service criminel nommé dstat[.]cc, qui facilitait la réalisation d'attaques par déni de service distribué (DDoS) pour des utilisateurs peu expérimentés. Selon le Bureau fédéral de la police criminelle (BKA), cette plateforme offrait des recommandations et des évaluations de services de "stresser" permettant de cibler des sites web et de les rendre inaccessibles. Dstat[.]cc permettait également aux propriétaires de botnets d'évaluer la capacité de leurs services d'attaque DDoS. En parallèle, deux suspects, âgés de 19 et 28 ans, ont été arrêtés à Darmstadt et dans les districts de Rhein-Lahn, accusés de fournir une infrastructure criminelle pour le trafic de drogues, notamment des drogues de synthèse, via une plateforme en ligne nommée "Flight RCS". Cette opération s'inscrit dans le cadre d'une initiative plus large, dénommée PowerOFF, qui a conduit à la fermeture de plusieurs sites de DDoS à la demande, tels que digitalstress[.]su et Anonymous Sudan, au cours des derniers mois.
Sources :
Récapitulatif THN : principales menaces, outils et pratiques en matière de cybersécurité (du 28 octobre au 3 novembre)
Cette semaine, la menace provient de hackers nord-coréens, notamment le groupe Andariel, qui aurait collaboré avec des acteurs du ransomware Play lors d'une attaque d'extorsion numérique en septembre 2024. Cette attaque s'inscrit dans une série d'intrusions visant trois organisations américaines en août 2024, probablement motivées par des gains financiers. Les attaques ont permis le vol de données d'identification de clients Microsoft, facilitant l'infiltration des réseaux. Parallèlement, un individu a été arrêté et un Russe, Maxim Rudometov, a été accusé d'être l'un des développeurs de RedLine Stealer. D'autres vulnérabilités ont été découvertes, notamment dans les contrôleurs de charge AC de Phoenix Contact, permettant à des attaquants de prendre le contrôle à distance. Des failles dans OpenText NetIQ iManager pourraient permettre l'exécution de code à distance. Un schéma de fraude, nommé Phish 'n' Ships, utilise des sites web falsifiés pour voler des informations de carte de crédit. Enfin, des recherches ont révélé que des outils de rétrogradation de Windows pourraient être exploités pour exécuter du code arbitraire à un niveau privilégié, compromettant ainsi la sécurité des systèmes.
Sources :
Les cybermenaces qui pourraient avoir un impact sur le secteur de la vente au détail pendant cette période des fêtes (et que faire à ce sujet)
Avec la montée en puissance des outils d'IA générative et des modèles de langage, les cybercriminels exploitent ces technologies pour intensifier leurs attaques sur les plateformes de commerce électronique. Selon Imperva Threat Research, les sites de vente au détail subissent en moyenne 569 884 attaques alimentées par l'IA chaque jour. L'abus de logique commerciale, où les criminels exploitent les fonctionnalités d'une application pour obtenir des résultats non autorisés, est particulièrement préoccupant, car l'IA peut analyser les comportements des utilisateurs pour identifier des failles. Les attaques DDoS au niveau des applications représentent une menace sérieuse, surtout pendant la saison des fêtes, car elles peuvent rendre les sites inaccessibles. Les conséquences financières d'une attaque réussie peuvent être dévastatrices, entraînant des pertes de revenus et des dommages à la réputation. Pour contrer ces menaces, les détaillants doivent investir dans des solutions de protection DDoS robustes et adopter des stratégies de gestion des bots. Cela inclut la validation stricte des entrées utilisateur, l'utilisation de systèmes de détection d'anomalies et la réalisation d'audits réguliers. En comprenant la nature des attaques alimentées par l'IA et en se préparant aux défis, les détaillants peuvent mieux protéger leurs opérations et garantir une expérience d'achat sécurisée pour leurs clients.
Sources :
L’outil d’intelligence artificielle Big Sleep de Google détecte une vulnérabilité zero-day dans le moteur de base de données SQLite
Google a annoncé avoir découvert une vulnérabilité zero-day dans le moteur de base de données open-source SQLite grâce à son cadre assisté par intelligence artificielle, Big Sleep (anciennement Project Naptime). Cette découverte est qualifiée de "première vulnérabilité réelle" identifiée par un agent IA. La vulnérabilité concerne un problème de sous-flux de tampon de pile dans SQLite, qui peut entraîner un crash ou une exécution de code arbitraire. Ce type de défaut se produit lorsque le logiciel accède à une zone mémoire avant le début du tampon, souvent à cause d'une manipulation incorrecte des pointeurs. Après une divulgation responsable, cette faille a été corrigée début octobre 2024, ayant été détectée dans une branche de développement avant sa publication officielle. Big Sleep, présenté par Google en juin 2024, vise à améliorer la découverte automatisée des vulnérabilités en simulant le comportement humain. L'outil utilise des capacités de compréhension et de raisonnement de code d'un modèle de langage pour naviguer dans le code cible et générer des entrées pour le fuzzing. Google souligne que ces résultats sont encore expérimentaux, mais ils estiment que cette approche pourrait considérablement renforcer la sécurité logicielle en identifiant les vulnérabilités avant leur exploitation.
Sources :
Une nouvelle campagne de cybermalveillance cible les utilisateurs de PC avec de faux CAPTCHA et des erreurs de navigateur
Kaspersky a récemment identifié une nouvelle vague d'attaques malveillantes ciblant les utilisateurs de PC Windows via des publicités en ligne. Ces publicités, qui masquent l'écran, redirigent les internautes vers de fausses pages CAPTCHA ou des messages d'erreur Chrome, les incitant à télécharger un infostealer. Entre septembre et octobre 2024, plus de 140 000 occurrences de ces publicités ont été enregistrées, touchant principalement des utilisateurs au Brésil, en Espagne, en Italie et en Russie. Les attaquants exploitent des faux CAPTCHA pour inciter les victimes, notamment des joueurs, à exécuter des commandes PowerShell, permettant ainsi le téléchargement du malware Lumma. Ce dernier cible des fichiers liés aux crypto-monnaies et des données sensibles. Kaspersky a également observé un autre scénario d'attaque utilisant des messages d'erreur pour tromper les utilisateurs. En plus de Lumma, le cheval de Troie Amadey est utilisé pour voler des informations d'identification et prendre des captures d'écran. Les experts recommandent aux internautes de rester vigilants face aux demandes suspectes et de ne pas céder aux incitations à télécharger des fichiers. Cette campagne malveillante souligne l'importance d'une prudence accrue en ligne.
Sources :
Zimperium alerte sur l’évolution du malware FakeCall
Zimperium, expert en sécurité mobile, a récemment découvert une variante avancée du malware FakeCall, qui utilise le Vishing (hameçonnage vocal) pour intercepter des appels téléphoniques et voler des informations sensibles. Identifiée par l’équipe de recherche zLabs, cette campagne malveillante implique 13 applications et divers fichiers nuisibles. FakeCall, initialement détecté par ThreatFabric et Kaspersky, permet aux cybercriminels de contrôler presque entièrement les appareils mobiles, en redirigeant les appels vers des numéros frauduleux, souvent en se faisant passer pour des institutions financières de confiance. Les attaques commencent généralement par le téléchargement d'une application corrompue via un lien malveillant, qui, une fois installée, pirate les communications de l'utilisateur. La nouvelle version de FakeCall présente des fonctionnalités améliorées, exploitant les services d’accessibilité d’Android pour manipuler l’interface utilisateur et simuler des interactions sans que la victime ne s’en rende compte. Grâce à une architecture complexe et des capacités de communication avec un serveur de Commande et Contrôle (C2), les attaquants peuvent intercepter et rediriger les appels, rendant la détection de cette menace encore plus difficile et dangereuse.
Sources :
Cisco affirme que la fuite du site DevHub ne permettra pas de futures violations
Cisco a déclaré que des fichiers non publics récemment téléchargés par un acteur malveillant depuis un portail DevHub mal configuré ne contiennent pas d'informations exploitables pour de futures violations de ses systèmes. L'analyse des documents exposés a révélé qu'ils comprenaient des données publiées pour les clients et d'autres utilisateurs de DevHub, bien que certains fichiers, appartenant à des clients de CX Professional Services, n'auraient pas dû être rendus publics. Cisco a informé directement les clients concernés et a indiqué qu'aucune information permettant d'accéder à ses environnements de production ou d'entreprise n'avait été identifiée. La configuration a été corrigée et l'accès public au site DevHub a été rétabli, avec l'assurance que les moteurs de recherche n'avaient pas indexé les documents exposés. Ce développement fait suite à la mise hors ligne du site DevHub après la fuite de données qualifiées de "non publiques". Bien que Cisco affirme que ses systèmes n'ont pas été compromis, des informations fournies par l'acteur malveillant suggèrent qu'il a également accédé à un environnement de développement tiers, permettant le vol de données. Cisco n'a pas répondu aux questions supplémentaires concernant ces allégations.
Sources :
Une nouvelle variante du malware FakeCall détourne les appareils Android pour effectuer des appels bancaires frauduleux
Des chercheurs en cybersécurité ont découvert une nouvelle version du malware Android connu sous le nom de FakeCall, qui utilise des techniques de phishing vocal (vishing) pour tromper les utilisateurs et obtenir leurs informations personnelles. Selon Fernando Ortega de Zimperium, FakeCall est une attaque vishing sophistiquée qui prend presque entièrement le contrôle du dispositif mobile, y compris l'interception des appels entrants et sortants. Les victimes sont incitées à appeler des numéros frauduleux contrôlés par l'attaquant, imitant l'expérience utilisateur normale. Depuis son apparition en avril 2022, FakeCall a principalement ciblé des utilisateurs en Corée du Sud. Le malware utilise des applications malveillantes pour capturer des informations affichées à l'écran et obtenir des autorisations supplémentaires. Ses fonctionnalités incluent la capture de SMS, de listes de contacts, de localisations, ainsi que l'enregistrement audio et vidéo. La version récente demande à l'utilisateur de définir l'application comme numéroteur par défaut, permettant ainsi d'intercepter les appels et de modifier les numéros composés. Cela permet aux attaquants de rediriger les victimes vers des numéros frauduleux, tout en imitant l'interface d'appel légitime. Face à ces menaces, Google teste des initiatives de sécurité pour bloquer les applications Android potentiellement dangereuses.
Sources :
Découvrez Interlock — Le nouveau ransomware ciblant les serveurs FreeBSD
Le ransomware Interlock, récemment découvert, cible des organisations à l'échelle mondiale en s'attaquant spécifiquement aux serveurs FreeBSD, une approche peu commune. Parmi ses victimes, le comté de Wayne, au Michigan, a subi une cyberattaque début octobre. Des chercheurs en cybersécurité, notamment de Trend Micro, ont identifié des échantillons d'un encryptor ELF pour FreeBSD et Windows. Ce ransomware vise FreeBSD en raison de son utilisation fréquente dans les infrastructures critiques, permettant aux attaquants de perturber des services essentiels et d'exiger des rançons élevées. Interlock utilise une méthode de double extorsion, menaçant de divulguer des données volées si la rançon n'est pas payée. Les rançons demandées varient de centaines de milliers à plusieurs millions de dollars, selon la taille de l'organisation. Le processus d'attaque implique une intrusion dans le réseau d'entreprise, le vol de données et une propagation latérale vers d'autres dispositifs. Chaque victime reçoit un identifiant unique pour s'enregistrer sur le site de négociation des attaquants sur le dark web. Bien que la version Windows de l'encryptor ait fonctionné lors des tests, la version FreeBSD a échoué, soulignant les défis techniques associés à cette menace.
