Des pirates informatiques font chanter Globe Life après un vol de données clients - Actus du 17/10/2024
Découvrez comment des hackers ont extorqué Globe Life avec des données volées, explorez les 5 meilleures automatisations de sécurité cloud pour optimiser SecOps, et plongez dans les coulisses du ransomware Cicada3301 et son programme d'affiliation. Sécurisez votre entreprise dès maintenant !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Des pirates informatiques font chanter Globe Life après avoir volé des données clients
Le 17 octobre 2024, Globe Life, un important assureur américain, a révélé qu'un acteur malveillant avait tenté de l'extorquer après avoir volé des données clients. Fondée en 1900, Globe Life est l'un des plus grands fournisseurs d'assurances vie et santé aux États-Unis, avec une capitalisation boursière de 12 milliards de dollars. La société avait déjà signalé une violation de données le 13 juin, après avoir découvert des vulnérabilités dans ses systèmes. Bien que l'incident n'ait pas perturbé significativement ses opérations, des inquiétudes subsistent quant aux données potentiellement compromises, touchant au moins 5 000 clients de sa filiale, American Income Life Insurance Company. Dans un dépôt auprès de la SEC, Globe Life a indiqué que les cybercriminels avaient demandé une rançon pour ne pas divulguer les informations volées, qui incluent des noms, adresses, numéros de sécurité sociale et données de santé. Cependant, l'entreprise a précisé que cette tentative d'extorsion ne concernait pas un ransomware, et qu'elle ne s'attend pas à un impact financier significatif sur ses opérations. L'enquête est toujours en cours pour évaluer l'ampleur de la violation.
Sources :
Top 5 des automatisations de sécurité cloud pour les équipes SecOps
La plateforme Blink Ops et son copilote facilitent l'automatisation des tâches fastidieuses dans les opérations de sécurité. Traditionnellement, les intégrations nécessitaient que des ingénieurs en sécurité écrivent du code personnalisé via des API. Par exemple, pour scanner des buckets S3 à la recherche d'accès publics, il fallait des scripts en Python ou Bash. Avec Blink Ops, il suffit de rédiger une simple invite pour que le copilote génère le flux de travail nécessaire. En collaboration avec AWS Route 53, Blink Ops détecte les enregistrements CNAME orphelins et envoie des alertes sur Slack en cas de configurations DNS incorrectes. Il permet également des scans automatiques quotidiens des buckets S3 pour les permissions publiques. En intégrant AWS Inspector, Blink Ops scanne automatiquement les instances EC2 et les conteneurs pour des vulnérabilités critiques, en loguant celles qui nécessitent une correction manuelle. De plus, il applique automatiquement le chiffrement AES-256 aux buckets non chiffrés, garantissant la sécurité des données sensibles sans intervention humaine. En optimisant ces processus, Blink Ops permet aux équipes de sécurité de gagner du temps, de réagir plus rapidement aux menaces et de réduire les risques d'erreurs humaines.
Sources :
Des chercheurs découvrent les opérations du ransomware Cicada3301 et son programme d'affiliation
Des chercheurs en cybersécurité ont obtenu des informations sur un ransomware-as-a-service (RaaS) émergent nommé Cicada3301 après avoir accédé à son panneau d'affiliation sur le dark web. Le groupe basé à Singapour, Group-IB, a contacté l'acteur menaçant via le forum RAMP, suite à une annonce de recrutement pour de nouveaux partenaires. Le tableau de bord du panneau des affiliés comprend plusieurs sections, telles que Dashboard, News, Companies, et FAQ. Cicada3301, découvert en juin 2024, présente des similitudes de code avec le groupe de ransomware BlackCat, ayant compromis au moins 30 organisations, principalement aux États-Unis et au Royaume-Uni. Ce ransomware, basé sur Rust, est multiplateforme, ciblant divers systèmes d'exploitation. Il peut chiffrer complètement ou partiellement des fichiers, tout en désactivant les machines virtuelles et en supprimant des copies de sauvegarde. Le groupe recrute des testeurs de pénétration et des courtiers d'accès, offrant une commission de 20 % et un panneau d'affiliation riche en fonctionnalités. Cicada3301 se distingue par ses opérations sophistiquées et sa capacité à exfiltrer des données avant le chiffrement, augmentant ainsi la pression sur les victimes.
Sources :
Données personnelles : les consommateurs méfiants de l’appétit insatiable des entreprises
L'étude mondiale de Cohesity révèle que la majorité des consommateurs sont critiques envers les paiements de rançons et pourraient changer de fournisseur si leurs données ne sont pas suffisamment protégées. Avec 82 % des 6 000 participants affirmant que les entreprises n'en font pas assez pour sécuriser leurs informations personnelles, la confiance des consommateurs est en jeu. Les entreprises doivent donc renforcer la protection des données sensibles, surtout celles intégrant l'IA, qui doivent investir dans la sécurité et la qualité des données pour garantir une cyber-résilience. Les craintes des consommateurs concernant l'IA sont également significatives : 91 % estiment qu'elle complique la gestion de leurs données, et 71 % la considèrent comme un risque pour leur sécurité. De plus, 78 % s'inquiètent de l'utilisation non contrôlée de l'IA avec leurs données, exigeant plus de transparence et de réglementation. La majorité des répondants (82 %) souhaitent être consultés avant que leurs données ne soient utilisées par des modèles d'IA. Enfin, 86 % veulent savoir avec qui leurs données sont partagées, soulignant l'importance d'une approche éthique et transparente dans la gestion des données.
Sources :
Le CAC 40 renforce ses défenses cyber, mais pas assez vite
Les Assises de la cybersécurité ont mis en lumière les défis à venir en France, notamment en matière d'intelligence artificielle et de réglementation. Malgré un bilan positif pour 2024, le courrier électronique demeure le principal vecteur de menace, avec des mesures de protection encore insuffisantes. L'analyse annuelle de Proofpoint sur l'adoption du protocole DMARC (Domain-based Message Authentication, Reporting and Conformance) parmi les entreprises du CAC 40 révèle des résultats encourageants mais insuffisants. En 2024, 95 % des entreprises du CAC 40 ont publié un enregistrement DMARC, une augmentation par rapport aux années précédentes. Cependant, seulement 48 % d'entre elles ont mis en place le niveau de protection recommandé, qui consiste à rejeter les courriels suspects. Ce chiffre est en légère hausse par rapport aux années précédentes, mais reste préoccupant. Les attaques par phishing et Business Email Compromise (BEC) continuent de croître, touchant respectivement 66 % et 62 % des organisations françaises en 2023. Loïc Guézo, directeur de la stratégie cybersécurité chez Proofpoint, souligne que les grandes entreprises, comme celles du CAC 40, sont des cibles privilégiées pour les cybercriminels, rendant l'adoption de DMARC d'autant plus cruciale.
Sources :
Enquête Ransomware Vade-Hornetsecurity : une diminution des attaques mais la récupération après attaque devient plus difficile au 3ème trimestre 2024
L'enquête Vade/Hornetsecurity sur les attaques de ransomware au troisième trimestre 2024 révèle une diminution des attaques, avec 18,6 % des organisations touchées, le taux le plus bas depuis 2021. Cependant, la récupération des données après une attaque devient plus complexe. Environ 16,3 % des victimes ont payé la rançon, une hausse significative par rapport à 2023. Les vecteurs d'attaque restent principalement les courriels de phishing, responsables de 52,3 % des incidents. Les petites entreprises, comptant entre 1 et 50 employés, sont particulièrement ciblées, représentant 55,8 % des attaques. Une part importante des répondants (32,6 %) n'est pas certaine que ses données aient été exfiltrées. Malgré ces défis, 81,3 % des organisations offrent des formations pour sensibiliser leurs employés, bien que 52,2 % souhaitent des formations plus rapides. L'inquiétude face aux ransomwares persiste, exacerbée par l'émergence de l'IA générative, avec 66,9 % des répondants exprimant des craintes accrues. Enfin, 54,6 % des organisations ont souscrit une assurance contre les ransomwares, marquant une augmentation par rapport à l'année précédente. L'enquête, menée auprès de 502 professionnels de l'informatique, souligne les défis continus dans la lutte contre cette menace.
Sources :
5 façons de réduire les risques de sécurité du SaaS
L'adoption des technologies par les employés a conduit à une surface d'attaque SaaS en constante expansion, souvent méconnue des équipes informatiques et de sécurité. Selon un rapport de CrowdStrike, 80 % des violations de données impliquent des identités compromises, notamment des identifiants cloud et SaaS. Pour remédier à cela, Nudge Security propose une découverte SaaS en temps réel, sans nécessiter d'agents ou de configurations complexes. Cela permet aux entreprises d'avoir une vue d'ensemble de tous les comptes SaaS créés, d'alerter sur les nouvelles applications et d'automatiser les tâches de gouvernance. De plus, avec la montée des intégrations no-code/low-code utilisant des autorisations OAuth, il est crucial pour les équipes de sécurité de revoir régulièrement ces autorisations pour éviter des connexions trop permissives. Nudge Security offre également un tableau de bord de surface d'attaque SaaS, permettant d'identifier les actifs exposés aux attaquants. Enfin, l'extension de la couverture SSO et l'utilisation de l'authentification multi-facteurs (MFA) sont essentielles pour renforcer la sécurité des accès aux applications SaaS, minimiser la surface d'attaque et garantir le respect des meilleures pratiques de sécurité.
Sources :
SideWinder APT frappe le Moyen-Orient et l'Afrique avec une attaque furtive en plusieurs étapes
Un acteur de menace persistante avancée (APT), soupçonné d'être lié à l'Inde, a intensifié ses attaques contre des entités de haut niveau et des infrastructures stratégiques au Moyen-Orient et en Afrique. Ce groupe, connu sous le nom de SideWinder (ou APT-C-17), cible des institutions gouvernementales, militaires, des entreprises de logistique, des infrastructures, des télécommunications, des institutions financières et des universités dans plusieurs pays, dont le Bangladesh, le Pakistan et l'Arabie Saoudite. Leur méthode d'attaque repose sur une chaîne d'infection multi-étapes, débutant par des emails de spear-phishing contenant des fichiers malveillants. Le malware StealerBot, un implant modulaire basé sur .NET, est conçu pour des activités d'espionnage, permettant de voler des mots de passe, de capturer des captures d'écran et d'exécuter des commandes à distance. Les chercheurs de Kaspersky soulignent que, bien que SideWinder utilise des exploits publics et des outils accessibles, ses capacités réelles se révèlent lors d'une analyse approfondie de ses opérations. Parallèlement, une autre menace, Transparent Tribe, a été identifiée, utilisant des fichiers Linux malveillants pour établir un accès persistant.
Sources :
Apple a un plan contre les arnaques téléphoniques
Apple introduit de nouvelles fonctionnalités pour les entreprises dans son programme « Apple Business Connect », visant à renforcer la sécurité et l'authenticité des communications. Dans les semaines à venir, les entreprises pourront afficher un logo personnalisé lors des paiements sans contact via Tap to Pay et dans les courriels, afin de prévenir les fraudes. En 2025, un système anti-spam sera intégré à l'application Téléphone, permettant d'identifier rapidement les entreprises légitimes. Avec la mise à jour iOS 18.2, prévue en décembre, une nouvelle application Mail sera lancée, offrant un design amélioré et un système de tri similaire à Gmail, tout en affichant des logos pour authentifier les expéditeurs. Par exemple, un courriel des impôts affichera le logo de la République française, tandis qu'un message de phishing n'en aura pas. Apple élargit également le programme aux sites web, auparavant réservé aux commerces physiques. En parallèle, la technologie Business Caller ID permettra d'identifier les appels des entreprises avec leur logo, facilitant ainsi la reconnaissance des services clients. Ces initiatives visent à renforcer la confiance des utilisateurs face aux menaces de cybersécurité.
Sources :
Les États-Unis accusent deux frères soudanais d'avoir perpétré 35 000 attaques DDoS, un record
Des procureurs fédéraux américains ont inculpé deux frères soudanais pour avoir dirigé un botnet de déni de service distribué (DDoS) à la demande, ayant réalisé un nombre record de 35 000 attaques en un an, dont celles visant les services de Microsoft en juin 2023. Les attaques, facilitées par l'outil DDoS puissant d'Anonymous Sudan, ciblaient des infrastructures critiques, des réseaux d'entreprises et des agences gouvernementales aux États-Unis et dans le monde. Ahmed Salah fait face à des accusations de dommages à des ordinateurs protégés, risquant la réclusion à perpétuité, tandis qu'Alaa Salah pourrait écoper de cinq ans. L'outil DDoS a été désactivé en mars 2024, mois de leur arrestation. Anonymous Sudan, identifié par Microsoft comme Storm-1359, a émergé début 2023, menant des attaques avec des motivations religieuses et nationalistes soudanaises. Les documents judiciaires révèlent que le groupe a causé plus de 10 millions de dollars de dommages aux victimes américaines. L'opération PowerOFF vise à démanteler les infrastructures criminelles DDoS à l'échelle mondiale. Parallèlement, des actions similaires ont eu lieu en Finlande et au Brésil, ciblant des marchés darknet et des hackers impliqués dans des violations de données.
Sources :
Ces deux hackers « islamistes et pro-russes » ont harcelé la France à coups de cyberattaques
Le 17 octobre 2024, la justice américaine a identifié deux leaders présumés du groupe de hackers Anonymous Sudan : Ahmed Salah Yousif Omer, 22 ans, et Alaa Salah Yusuuf Omer, 27 ans. Ce collectif, connu pour ses cyberattaques, a notamment paralysé le réseau interministériel français en mars 2024, affectant le fonctionnement de nombreux ministères pendant près de 48 heures. Se présentant comme pro-russe et pro-islamiste, Anonymous Sudan a ciblé la France en réponse aux caricatures de Charlie Hebdo et a harcelé des pays scandinaves après des provocations d'extrême droite. Leur méthode principale est l'attaque par déni de service (DDoS), utilisant des botnets pour surcharger des sites comme ChatGPT et Deezer, causant des interruptions significatives. Ils auraient également perturbé un hôpital à Los Angeles, retardant des soins d'urgence. Le groupe se finance en louant son infrastructure à d'autres cybercriminels, ayant lancé plus de 35 000 attaques DDoS. Leur silence récent pourrait être lié à une enquête du FBI. Ce cas met en lumière la capacité d'un petit groupe à causer des perturbations majeures dans des services en ligne critiques.
Sources :
Une vulnérabilité critique du générateur d'images Kubernetes expose les nœuds à un risque d'accès à la racine
Une vulnérabilité critique a été révélée dans le Kubernetes Image Builder, permettant un accès root si exploitée. Suivie sous le nom CVE-2024-9486 (score CVSS : 9.8), elle a été corrigée dans la version 0.1.38. Nicolai Rybnikar a été remercié pour sa découverte. Selon Joel Smith de Red Hat, le problème réside dans l'activation des identifiants par défaut lors du processus de création d'images. Les images de machines virtuelles créées avec le fournisseur Proxmox ne désactivent pas ces identifiants, rendant les nœuds accessibles. Les clusters Kubernetes ne sont affectés que si leurs nœuds utilisent des images VM créées via Image Builder avec Proxmox. Comme mesures temporaires, il est conseillé de désactiver le compte builder sur les VM concernées et de reconstruire les images avec la version corrigée. La mise à jour remplace les identifiants par défaut par un mot de passe généré aléatoirement et désactive le compte builder à la fin du processus. La version 0.1.38 corrige également une autre vulnérabilité (CVE-2024-9594, score CVSS : 6.3) liée aux identifiants par défaut pour d'autres fournisseurs. Parallèlement, Microsoft a publié des correctifs pour plusieurs vulnérabilités critiques dans ses produits.
Sources :
Les pirates iraniens agissent comme des courtiers vendant l'accès aux infrastructures critiques
Des hackers iraniens ciblent les infrastructures critiques en accédant à des organisations pour collecter des identifiants et des données réseau, qu'ils revendent sur des forums criminels. Les agences gouvernementales des États-Unis, du Canada et d'Australie suspectent ces hackers d'agir comme des courtiers d'accès initial, utilisant des techniques de force brute pour infiltrer des secteurs tels que la santé, le gouvernement et l'énergie. Un avis de la Cyber Defense Agency (CISA), coécrit avec le FBI et d'autres agences, décrit leurs méthodes, notamment le "password spraying" et le "push bombing" de l'authentification multifactorielle (MFA). Après avoir obtenu un accès initial, les hackers cherchent à maintenir un accès persistant, à collecter davantage d'identifiants et à escalader leurs privilèges. Ils exploitent des vulnérabilités comme celle de Microsoft Netlogon pour s'imposer comme contrôleurs de domaine. En août, un autre avis a mis en lumière un acteur iranien, lié à des rançongiciels, qui collabore avec des affiliés pour partager les paiements de rançon. Les agences recommandent de surveiller les connexions suspectes et de mettre en œuvre des mesures de sécurité pour contrer ces menaces. Des indicateurs de compromission sont également fournis pour aider à identifier les attaques.
Sources :
Google : 70 % des failles exploitées révélées en 2023 étaient des zero-day
Selon une analyse de Google Mandiant, 70,3 % des 138 vulnérabilités exploitées en 2023 étaient des zero-days, ce qui indique une tendance inquiétante chez les acteurs malveillants à découvrir et exploiter ces failles avant que les fournisseurs ne soient au courant. Entre 2020 et 2022, le ratio de vulnérabilités corrigées (n-days) par rapport aux zero-days était de 4:6, mais en 2023, il a évolué vers 3:7. Cette augmentation des zero-days n'est pas due à une diminution des n-days, mais à une meilleure détection par les fournisseurs de sécurité. Le nombre de fournisseurs touchés par des failles exploitées a également atteint un record de 56 en 2023, contre 44 en 2022. De plus, le temps nécessaire pour exploiter une vulnérabilité nouvellement divulguée a chuté à seulement cinq jours, contre 63 jours en 2018-2019. Cela souligne l'importance de stratégies de sécurité telles que la segmentation du réseau et la détection en temps réel. Enfin, Google note qu'il n'existe pas de corrélation systématique entre la divulgation des exploits et le temps d'exploitation, ce qui complique l'évaluation des risques.
Sources :
Le pirate informatique du Département de la Défense américain à l'origine de la violation des données publiques nationales a été arrêté au Brésil
Un hacker notoire connu sous le nom de USDoD, également appelé EquationCorp, a été arrêté par la Polícia Federal du Brésil lors de l'opération "Data Breach". Ce cybercriminel est lié à des violations de données majeures, notamment celles de l'InfraGard du FBI et de National Public Data, où des informations personnelles de centaines de millions de citoyens américains ont été divulguées. Sa chute a commencé après qu'il a ciblé la société de cybersécurité CrowdStrike, en divulguant une liste interne de menaces. Cette fuite a conduit à une identification anonyme de l'hacker, révélant qu'il s'agissait d'un Brésilien de 33 ans nommé Luan BG. Dans une interview, USDoD a confirmé l'exactitude des informations fournies par CrowdStrike, tout en se vantant d'avoir été "doxé" par plusieurs autres entreprises avant l'attaque contre InfraGard. L'opération de la police brésilienne visait à enquêter sur des intrusions dans les systèmes de la police fédérale et d'autres institutions internationales. L'arrestation a été effectuée à Belo Horizonte, où des mandats de perquisition et d'arrestation préventive ont été exécutés contre lui, soupçonné d'avoir vendu des données sensibles de la police fédérale.
Sources :
La faille du service d'assistance Web de SolarWinds est désormais exploitée dans des attaques
CISA a ajouté trois vulnérabilités à son catalogue des 'Vulnérabilités Connues Exploitées' (KEV), dont une faille critique dans SolarWinds Web Help Desk (WHD), identifiée comme CVE-2024-28987. Cette vulnérabilité, due à des identifiants codés en dur, permet à des attaquants distants non authentifiés d'accéder aux points de terminaison de WHD et de modifier des données sans restriction. SolarWinds a publié un correctif peu après la découverte de la faille par le chercheur Zach Hanley de Horizon3.ai. CISA a signalé que cette vulnérabilité est actuellement exploitée dans des attaques, sans fournir de détails sur les activités malveillantes. Les agences fédérales américaines doivent mettre à jour leurs systèmes vers une version sécurisée ou cesser d'utiliser le produit d'ici le 5 novembre 2024. En plus de la faille SolarWinds, CISA a également mentionné deux autres vulnérabilités liées à Windows et Mozilla Firefox, toutes deux déjà exploitées. La faille Windows, CVE-2024-30088, a été exploitée par le groupe APT34, tandis que la vulnérabilité Firefox, CVE-2024-9680, a été corrigée rapidement après sa découverte, avec des origines d'attaques suspectées en Russie.
Sources :
Les États-Unis perturbent l'opération DDoS d'Anonymous au Soudan et inculpent deux frères soudanais
Le 16 octobre 2024, le ministère américain de la Justice a annoncé l'inculpation de deux frères soudanais, Ahmed Salah Yousif Omer, 22 ans, et Alaa Salah Yusuuf Omer, pour leur rôle dans le groupe hacktiviste Anonymous Sudan, responsable de plus de 35 000 attaques DDoS en un an. Depuis son lancement en 2023, ce groupe a mené des attaques notables, affectant des entreprises telles que Cloudflare, Microsoft et OpenAI, ainsi que des agences gouvernementales et des établissements de santé, comme l'hôpital Cedars-Sinai à Los Angeles. Les motivations des attaques étaient souvent liées à des causes pro-russes et pro-palestiniennes, bien que le groupe prétende cibler des entités interférant dans la politique soudanaise. Les frères sont en détention depuis mars 2024, lorsque l'infrastructure d'Anonymous Sudan a été saisie. Le DOJ a précisé que le groupe utilisait des outils comme le Skynet Botnet pour mener ses attaques sans compromettre de dispositifs, mais en utilisant des proxys ouverts. Les deux suspects font face à des accusations de conspiration pour endommager des ordinateurs protégés, avec Ahmed Omer risquant une peine maximale de réclusion à perpétuité pour avoir mis en danger des vies lors de l'attaque contre l'hôpital.
Sources :
Une faille critique dans Kubernetes Image Builder donne un accès root SSH aux machines virtuelles
Une vulnérabilité critique dans Kubernetes permettrait un accès SSH non autorisé à des machines virtuelles (VM) créées avec le projet Kubernetes Image Builder. Cette plateforme open-source facilite le déploiement et la gestion de conteneurs virtuels. L'Image Builder permet de générer des images de VM pour divers fournisseurs d'API de cluster (CAPI), comme Proxmox ou Nutanix. Selon un avis de sécurité, cette vulnérabilité affecte les images VM construites avec le fournisseur Proxmox sur la version 0.1.37 ou antérieure de l'Image Builder. Le problème, identifié comme CVE-2024-9486, réside dans l'utilisation de mots de passe par défaut non désactivés après la création de l'image. Un attaquant pourrait ainsi se connecter via SSH et obtenir des privilèges root sur les VM vulnérables. La solution consiste à reconstruire les images affectées avec la version 0.1.38 ou ultérieure, qui génère un mot de passe aléatoire et désactive le compte "builder". Si une mise à jour n'est pas possible, il est recommandé de désactiver temporairement le compte avec la commande appropriée. Une vulnérabilité similaire a été identifiée pour d'autres fournisseurs, notée CVE-2024-9594, mais avec une sévérité moyenne.
Sources :
Les pirates informatiques utilisent l'outil EDRSilencer pour contourner la sécurité et masquer les activités malveillantes
Des acteurs malveillants tentent d'exploiter l'outil open-source EDRSilencer pour contourner les solutions de détection et de réponse des points de terminaison (EDR) et dissimuler leurs activités malveillantes. Selon Trend Micro, ces menaces intègrent EDRSilencer dans leurs attaques pour échapper à la détection. Inspiré de l'outil NightHawk FireBlock, EDRSilencer bloque le trafic sortant des processus EDR en utilisant la plateforme de filtrage Windows (WFP). Il peut mettre fin à divers processus liés à des produits EDR de grandes entreprises comme Microsoft, Elastic et Palo Alto Networks. En intégrant ces outils légitimes, les attaquants visent à rendre les logiciels EDR inefficaces, rendant ainsi plus difficile l'identification et l'élimination des malwares. EDRSilencer identifie dynamiquement les processus EDR en cours et crée des filtres WFP persistants pour bloquer leurs communications réseau, empêchant ainsi l'envoi de télémétrie. Cette méthode permet aux malwares de rester indétectés, augmentant les chances de succès des attaques. Parallèlement, l'utilisation croissante d'outils de neutralisation EDR par des groupes de ransomware souligne la nécessité pour les solutions de sécurité de s'adapter aux techniques d'attaque en constante évolution.
